第一篇：惠州政府網掛馬分析報告

惠州政府網掛馬分析報告

超級巡警安全中心檢測到官方網站中國惠山網被掛馬，黑客利用CVE-2011-0609的漏洞（根據分析，發現還有另一個網馬地址，可是地址已經失效），對瀏覽網頁的用戶進行攻擊。一旦攻擊成功，黑客將獲得該用戶系統的完全控制權。

二、掛馬分析

[root] hxxp://

[iframe] hxxp://（已失效）

[iframe] hxxp://（CVE-2011-0609）

[exe] hxxp://x5978.3322.org/xz/1.exe

三．漏洞描述

這個漏洞存在于以下平臺版本：Windows、Mac、Linux和Solaris平臺最新Adobe Flash Player 10.2.152.33版本以及更早版本,Chrome谷歌瀏覽版Flash Player10.2.154.18以及更早版本；Android版Flash Player 10.1.106.16及更早版本；Windows和Mac平臺包含authplayl.dll組件的Adobe Reader/Acrobat X（10.0.1）及更早版本。

下圖為被掛馬也網馬頁地址（圖一）及解密后的內容（圖二）： 圖一 圖二

四、病毒分析

病毒相關分析： 病毒標簽：

病毒名稱：Trojan-GameThief.Win32.Magania.efrt

病毒別名：

病毒類型： 盜號木馬

危害級別：4

感染平臺：Windows

病毒大小： 23,952 bytes

SHA1 : 8c6234b6bbdd7db541d7f81ca259d7ca67a7dbda

加殼類型：偽裝UPX殼

開發工具： Delph

病毒行為：

1)釋放病毒副本：

釋放31009125n31.dll到%Temp%下；(n31前的數字為隨機數字)

釋放30680437n31.dll 到%Temp%下并設置系統,隱藏屬性；(n31前的數字為隨機數字)

釋放ctfmon.exe 到%SystemRoot%下；

2)遍歷以下進程，并結束他們來進行自我隱藏：

360rp.exe,360sd.exe,360tray.exe,avp.exe,ravmond.exe

3)遍歷以下QQ西游的主進程，以便游戲重啟時截獲用戶賬號密碼：

QQ西游.exe,qy.exe,qqlogin.exe

4）安裝全局消息鉤子，截獲鍵盤消息

ctfmon.exe HOOK WM_GETMESSAGE

5)進行網絡通信，將獲取到得賬號發送出去。

6）刪除自身。

五．事件總結：

分析發現，這次對中國惠山的攻擊與往常其他擁有大量用戶的網站掛馬情況類似，在某個廣告頁面被ARP攻擊。通過分析病毒行為發現這個是個專門針對QQ西游游戲的盜號木馬，即便有密保用戶也會中招。針對近期出現大量攻擊政府網站掛馬的行為，希望大家及時更新殺毒軟件病毒庫，并及時安裝軟件補丁包防范于未然。

目前暢游精靈已經可以完美攔截該網馬的攻擊，超級巡警云查殺可以有效識別該木馬。超級巡警安全中心提醒用戶安裝暢游精靈和超級巡警對木馬進行有效的攔截。對于已經中毒的用戶，巡警安全中心建議您立刻使用超級巡警云查殺進行有效的木馬查殺，以此保證自己的系統的安全。

第二篇：2010年上半年教育網網站掛馬監測報告

2010年上半年教育網網站掛馬監測分析報告

北京大學網絡與信息安全實驗室，中國教育和科研網緊急響應組，中國教育網體檢中心

2010年7月

網站掛馬近年來一直是國內互聯網安全最嚴重的安全威脅之一，也對教育網網站構成了 現實普遍的危害。隨著高考招生拉開帷幕，教育網網站，特別是高招網站，將成為廣大考生 和家長頻繁瀏覽的熱門站點，也不可避免地成為惡意攻擊者的關注目標。

北京大學網絡與信息安全實驗室(ercis.icst.pku.edu.cn)于去年完成了網站掛馬監測平臺 系統的研發，通過與中國教育網體檢中心(頁面。

圖 14 224ay.htm網頁木馬攻擊分發頁面，包含反病毒軟件識別機制

通過對iie.swf和fff.swf Flash文件的手工分析，我們發現該Flash文件是通過ActionScript 中判斷Flash Player版本，并利用LoadMovie()函數進一步裝載滲透攻擊頁面，但在我們固化

保全過程中，該頁面已失效。av.htm頁面內容如圖 15，首先根據是否IE7，分別裝載6.htm 和7.htm，并進一步輸出nod.htm、real.htm和rising.htm。

圖 15 av.htm網頁木馬攻擊二級分發頁面

6.htm頁面內容如圖 16，在頁面中還通過SCRIPT外鏈引入了mp.js(頁面內容如圖 17)，經過分析可知6.htm是未經混淆的“極風”漏洞滲透攻擊代碼，而所引入mp.js中的內容則 包含了一個用于對抗目前一些模擬分析環境（如開源的PHoneyC等）中應用的ActiceX控件 模擬機制的小伎倆，試圖創建一個在系統中肯定不存在的“be”控件，而如果客戶端環境告 知能夠創建成功，則必然客戶端環境中采用了ActiveX控件模擬機制（目前實現一般是對所 有環境中不存在ActiveX控件都返回創建成功的模擬對象，然后試圖劫持獲取進一步的方法 調用和/或動態輸出頁面鏈接），而該段代碼在創建不成功時才輸出后面代碼所依賴的一些變 量定義，如此，實現了ActiveX控件模擬機制的環境則無法正確地動態執行代碼，從而對該 網馬實施有效檢測。

圖 16 6.htm頁面內容，分析可知是未進行混淆的“極風”漏洞滲透攻擊代碼

圖 17 6.htm頁面中包含mp.js內容，包含了對抗模擬插件機制

rising.htm頁面及之后裝載的ofnt.htm，以及ofnt.htm頁面中包含的SCRIPT外鏈oopk.jpg 及uug.jpg的頁面內容構成了對Office Web組件OWC10.SpreadSheet中內存破壞安全漏洞(MS09-043)的滲透攻擊代碼，代碼采用了SetTimeout()函數延遲輸出鏈接、將Script文件偽

裝JPEG圖片文件、通過復雜字符串計算組裝Shellcode和ActiveX控件名稱等技術手段，以 提升分析的難度。

圖 18 rising.htm頁面內容，嘗試創建OWC10.Spreadsheet控件，并裝載ofnt.htm頁面

圖 19 ofnt.htm頁面內容，包含oopk.jpg和uug.jpg兩段外鏈腳本

圖 20 oopk.jpg頁面中的Script代碼，定義Shellcode等變量

圖 21 uug.jpg頁面中的Script代碼，定義一些關鍵變量，并進行了混淆處理

該場景中還包括了針對聯眾GLIEDown.IEDown.1控件緩沖區溢出漏洞（BID: 29118,29446）的滲透攻擊頁面(nod.htm及lz.htm)，以及針對Real Player軟件IERPCtl.IERPCtl.1控件中緩沖

區溢出漏洞(CVE-2007-5601)的滲透攻擊頁面(real.htm及myra.htm)。

通過上述兩個今年上半年在教育網網站上流行的網頁木馬攻擊場景案例分析，我們可以 總結出目前網頁木馬攻擊者已引入大量的技術手段和伎倆在和研究團隊、產業界及政府相關 監管部門進行對抗，以躲避檢測，并提升分析追蹤的難度。對網頁木馬的監測與分析技術發 展、平臺建設和相應的應急響應處置流程還需要持續地改進和完善，才能夠有效地應對和處 置網頁木馬這種流行的安全威脅形態。

5.總結

北京大學網絡與信息安全實驗室、中國教育和科研網緊急響應組(CCERT)、中國教育網 體檢中心合作開展對教育網中的網站掛馬情況進行全網檢測和態勢分析，并為中國教育網體 檢中心(www.tmdps.cn)。通過2010年上半年教育網掛馬監測數據結果分析，共檢出來自425 個頂級域名的1,347個網站被掛馬，上半年網站掛馬率達到3.88%，這說明教育網網站的安 全狀況仍不容樂觀。希望高校網絡安全管理部門和人員能夠充分重視，對相關網站進行全面 檢測和安全加固，積極預防，盡量避免網站掛馬等安全事件的發生。

第三篇：解析網頁后門與網頁掛馬原理

解析網頁后門與網頁掛馬原理

轉自 IT168

網站被掛馬，被植入后門，這是管理員們無論如何都無法忍受的。Web服務器被攻克不算，還“城門失火殃及池魚”，網站的瀏覽者也不能幸免。這無論是對企業的信譽，還是對管理員的技術能力都是沉重的打擊。下面筆者結合實例對網頁后門及其網頁掛馬的技術進行解析，知己知彼，拒絕攻擊。

一、前置知識

網頁后門其實就是一段網頁代碼，主要以ASP和PHP代碼為主。由于這些代碼都運行在服務器端，攻擊者通過這段精心設計的代碼，在服務器端進行某些危險的操作，獲得某些敏感的技術信息或者通過滲透，提權獲得服務器的控制權。并且這也是攻擊者控制服務器的一條通道，比一般的入侵更具有隱蔽性。

網頁掛馬就是攻擊者通過在正常的頁面中(通常是網站的主頁)插入一段代碼。瀏覽者在打開該頁面的時候，這段代碼被執行，然后下載并運行某木馬的服務器端程序，進而控制瀏覽者的主機。

二、網頁掛馬的類型

1、框架嵌入式網絡掛馬

網頁木馬被攻擊者利用iframe語句，加載到任意網頁中都可執行的掛馬形式，是最早也是最有效的的一種網絡掛馬技術。通常的掛馬代碼如下：