RSS订阅追求最高效、最简单的解决方案
你的位置:首页 » 问题分享 » 正文

新一波利用安全漏洞病毒袭击网吧,请各位及时做好安全防护

选择字号: 超大 标准 顺网小哥 发布于2015年05月27日 属于 问题分享 栏目  4个评论 8800人浏览

【问题症状】

近日接到多起反馈盗号问题,经过排查后确定为又一利用IE远程执行漏洞在网吧传播,导致部分网吧收到重创。在排查过程中发现,网吧在游戏途中弹出一个网页广告后,此病毒就开始运行。分析发现在打开的广告的地址中包含一个html,访问此html后及触发了漏洞。

f11.png

客户机在弹出这个网页2秒钟后,IE就自动执行了CMD.exe创建VBS脚本下载木马程序到客户机。

f12.png

然后msiexec.exe把程序释放到config目录内并执行起来

f3.png

等玩家登录QQ之后QQ会被结束掉然后弹出钓鱼窗口,完成盗号

135227vgxx8epgpeer5euo.png

在对病毒进行简单分析后,初步定位为IE远程执行漏洞CVE-2014-6332,安全公告号MS14-064。该漏洞贯穿目前所有主流系统

在经过长达1星期的测试、远程复现环境后可以确定为CVE-2014-6332漏洞,并且通过安装KB3006226补丁后解决问题。但是遗憾的是微软并没有提供XP下的解决方案


【解决方案】

安装微软针对MS14-064补丁程序:

https://technet.microsoft.com/library/security/ms14-064   (请根据你的系统类型自主选择补丁包)

http://pan.baidu.com/s/1hqs2Ssc (该附仅为WIN764位下的KB3006226)

记得删除windowspowsershell组件

win764位的话在C:\windows\system32\windowspowershell,C:\windows\syswow64\windowspowershell


【备注】

并非所有盗号都跟该漏洞有关系,所以存在安装该漏洞后还是会出现盗号原因

该漏洞也是2014年11月11号才被微软所修复。

根据2014年天下网盟的网吧行业调查报告中XP系统使用率为40%

微软已经不再提供补丁修复

网吧里能做出弹窗动作的软件也有很多(平台软件除外)!

这种恶意页面技术成本低

估计还有很多网吧中招过,只是我还没遇到。

盗号案例二——破解版净网先锋导致

盗号案例一——盗版万象计费导致



备注:本文由顺网小哥原创,尊重他人劳动成果转载他处请备注原作者声明


标签:盗号补丁木马

广告位出售

已有4位网友发表了看法:

1#安全中国  2015-07-10 02:06:18 回复该评论
IE远程执行漏洞 得到Windows6.1-KB3006226-x64_OLE2.msu Windows6.1-KB3010788-x64_OLE1.msu 请问msu文件怎么使用
1#顺网小哥  2015-07-10 11:45:03 回复该评论
win7环境下双击就可以使用
2#安全中国  2015-07-11 04:05:25 回复该评论
谢谢小哥,已经安装,昨天是2003系统打开看了,win7上是可以直接安装,支持小哥!
3#HFFS安全团队  2016-06-30 08:37:50 回复该评论
小哥 我是一个普通的高中生,热爱研究一些网络上的技术,希望可以帮助到你,联系QQ 863705371

发表评论

必填

选填

选填

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

右侧2016一起努力
最新发布的文章
最新评论
  • 访客

    访客

    小哥,这个图标排列工具,刷新

  • 访客

    访客

    小哥,这个图标排列工具,刷新

  • 访客

    访客

    链接那两个冒号错了

  • 愤怒的萝卜

    愤怒的萝卜

    链接地址无法正常跳转

  • 访客

    访客

    有提示的!