RSS订阅追求最高效、最简单的解决方案
你的位置:首页 » 解决方案分享 » 正文

广告有毒!播放器挂马卷土重来!

选择字号: 超大 标准 技术小哥 发布于2016年06月16日 属于 解决方案分享 栏目  0个评论 4622人浏览

近期有网友反映在使用播放器时,360安全卫士拦截到CVE-2014-6332漏洞攻击,这是播放器加载了“带毒广告“引发的网络攻击,包括暴风影音等多款流行播放器受到影响。


如果电脑没有专业安全软件保护,木马会利用微软漏洞CVE-2014-6332(XP系统无此漏洞补丁)自动下载到用户电脑中运行,再强制安装一大批流氓软件和广告插件牟利。


360安全卫士拦截播放器挂马攻击640.webp.jpg


经过360反病毒工程分析,暴风影音播放的一段广告代码中,被攻击者插入了CVE-2014-6332挂马代码,造成用户使用播放器过程中受到攻击。


广告截图:


640.webp (1).jpg


暴风影音的BFLp.exe进程触发了此漏洞,并执行攻击代码:


640.webp (2).jpg



640.webp (3).jpg


如果系统没有打好补丁或开启360安全卫士保护,挂马代码会触发漏洞在用户电脑中自动下载运行恶意程序:


640.webp (4).jpg


挂马分析


BFLP.exe是在展示以下广告页面时触发的漏洞,我们对这个页面做了追踪和分析。


hxxp://www.ad1.wpt003.com/ad/index.html 


从挂马页面的服务器地址和域名注册商来看,此次播放器挂马的攻击者非常活跃,曾多次利用各类软件客户端和网站进行挂马,其注册信息为“江苏邦宁科技有限公司”,此前LOL客户端、PConline网站等多起挂马事件均是这个团伙所为。


www.ad1.wpt003.com ====> 222.186.129.59 江苏省镇江市 电信



640.webp (5).jpg


挂马页面位置:


640.webp (6).jpg



640.webp (7).jpg


原始挂马页面中嵌入了一段javascript脚本元素,并在script元素内部使用HTML注释符(<!--)企图躲过检查:


640.webp (8).jpg


而实际上,该注释符仅适用于HTML语言。再script元素内部,就已经不再适用HTML语法而是适用当前脚本语言(javascript语言)语法了,也就是说脚本内容并不会被注释掉,而是可以正常执行。


640.webp (9).jpg


从页面自己给出的函数很明显的看出这一大段的字符串使用了URL编码,解码后得到如下页面内容:


640.webp (10).jpg


又是一段script元素,只不过这次是逐个将数字转化为字符拼接起来即可:


640.webp (11).jpg


解码后得到真正的恶意代码:


640.webp (12).jpg


这是一段非常典型的CVE-2014-6332漏洞利用代码,代码会下载阿里云服务器上的“hxxp://publicsofts.oss-cn-hangzhou.aliyuncs.com/1.exe”到本地并保存为“C:\Windows\Temp\Insladdala.exe”,最后运行该程序,通过云端控制在受害者电脑中强制安装大量流氓推广软件。

640.webp (13).jpg



播放器挂马事件层出不穷,在此我们提醒相关软件厂商,注意加强对第三方广告代码的安全审核,以免引入带毒广告危及用户。此外,软件客户端还应注意及时更新Flash等第三方插件,并积极推进流量数据加密,提升软件自身的安全性。

请注意打补丁!!!!!

打赏

标签:木马盗号病毒

1
右侧2016一起努力
最新发布的文章
最新评论

公告

十年相伴 值得信赖 需要定制开发、购买加速器可以联系 QQ1368762345,微信同号