据Sophos Labs报道,Adobe拥有的seriousmagic.com网站刚刚遭受Asprox僵尸网络的SQL注射攻击,成为近来被攻击的最著名站点。
被感染的网页位于hxxp://www.seriousmagic.com/help/tuts/tutorials.cfm?p=1,访问该页的用户将被偷偷地安装一个恶意程序。Adobe两年前宣布收购SeriousMagic,现在SeriousMagic的Whois信息显示,Adobe是它的新主人。
据反病毒厂商Sophos的一篇文章透露,Adobe已经注意到自己的网页被感染,但TheRegister周四用虚拟机试图访问这个感染页的时候,发现仍被引导到一些恶意站点,包括hxxp://abc.verynx.cn/w.js以及hxxp://1.verynx.cn/w.js。目前,这两个地址已经失效,但攻击中使用的另外几个地址,包括hxxp://jjmaobuduo.3322.org/csrss/w.js与hxxp://www2.s800qn.cn/csrss/new.htm仍然有效。
Asprox僵尸网络5,6月期间曾成功攻击过Redmond magazine,Sony Playstation等著名站点,没过多久,SeriousMagic再成为牺牲品。
被感染的每一个网页都被无休止地执行一段Javascript代码并将用户引导到恶意站点或广告站点。同时,w.js会尝试各种系统漏洞,并使用以下结构,将一个查杀率很低的病毒Worm.Win32.AutoRun.qtg安装到用户的系统。(该病毒的查杀率仅80.56%)
www2.s800qn.cn/csrss/new.htm
www2.s800qn.cn/csrss/flash.htm
www2.s800qn.cn/csrss/i1.htm
www2.s800qn.cn/csrss/f2.htm
www2.s800qn.cn/csrss/i1.html
www2.s800qn.cn/csrss/flash112.htm
www2.s800qn.cn/csrss/ff.htm
www2.s800qn.cn/csrss/xl.htm
www2.s800qn.cn/csrss/mi.htm
www2.s800qn.cn/csrss/real10.htm
www2.s800qn.cn/csrss/real11.htm
bbexe.com/csrss/rondll32.exe
目前,Adobe似乎已经清除了这个病毒。
中文翻译来源:COMSHARPCMS(锐商企业CMS)官方网站
Tel:4008-598-678
Do You Best,Mutually Promote Symbiosis
ad@nqianjin.com
