能“隐身”还会玩“自杀” “刺客”狂借政府网站大肆传播木马

mimisky

　4月14日，安全中心截获了一个通过“挂马”地方政府网站疯狂传播木马的木马下载器。这个名为“刺客”的木马下载器，竟然在短短几天内，先后“攻陷”了包括山西省公安厅交通管理局、楚雄纪检监察网、郴州人事信息网、中国林业科研网、衡阳市住房公积金管理中心、焦作价格信息网等数十家政府网站服务器，并通过网页“挂马”的方式大肆传播木马，对访问这些网站的用户电脑形成了极大的安全威胁。

　　据安全专家石晓虹博士介绍，“刺客”木马下载器具有关闭杀毒软件、自我伪装、下载并运行其他木马等强大的恶意行为。当用户点击这些“挂马”网页时，“刺客”首先会伪造一个微软的数字签名，让安全软件误以为它是正常程序。随后，“刺客”在会在指定目录下释放并执行一个恶意程序模块“killdll.dll”，该恶意模块可在“隐身”状态下关闭系统内所有主流安全软件。最后，该恶意模块主动自我删除——就在其“自杀”的同时，居然生成一个新的可升级的后门程序!

　　石晓虹博士说，“刺客”在干完了所有这一切之后，所有安全软件基本上就处于失效状态，而此时“刺客”已经获得了对中招电脑的控制权。随后，它就可以不慌不忙地去登陆黑客服务器下载一个包含有大量恶意网址的文件(hxxp://g.qv778.com/01/fz.txt)，并按照该文件的“指示”，批量下载并执行该文件里的木马和恶意程序，进而就能更加随心所欲地窃取中招电脑中的账号、密码以及个人隐私等信息，甚至会“指挥”这些“肉鸡”电脑去作恶。

　　从近期安全中心、瑞星、金山等各安全厂商公布的疫情播报数据来看，无论从在数量上还是危害程度上，木马和网页木马都已远超病毒，成为当前互联网最大的安全威胁。而超过95%的木马就是通过“网站挂马”这种方式来传播的。由于不少地方政府网站的服务器维护与内容更新均交给第三方公司进行，部分管理员的安全意识薄弱，因此这些流量虽不太大、但可信度极高的地方政府网站目前已成为黑客与木马传播者们攻击和“挂马”的首选目标，有些网站甚至长期被“挂马”，成了不折不扣的网络“毒源”。

　　附：

　　4月14日安全中心监测到的被挂有“刺客”木马下载器的部分政府网站名单：(备注：为防用户误点，以上网址已作特殊处理。)

　　山西省公安厅交通管理局

　　hxxp://www.shanxijiaojing.com/old/index.asp

　　被挂木马：w1.akc8.com/01/s.exe

　　楚雄纪检监察网

　　hxxp://www.cxjjjc.gov.cn/hfrx/index.asp?page=6

　　被挂木马：w1.akc8.com/01/s.exe

　　郴州人事信息网

　　hxxp://www.czpb.gov.cn/2007/Article/Class1/Index.html

　　被挂木马：w1.akc8.com/01/s.exe

　　衡阳市住房公积金管理中心

　　hxxp://www.hygjj.gov.cn

　　被挂木马：w1.akc8.com/01/s.exe

　　吉林市船营区人口和计划生育信息网

　　hxxp://www.cyqpop.gov.cn/

　　被挂木马：w1.akc8.com/01/s.exe

　　焦作价格信息网

　　hxxp://www.jzjgxx.gov.cn/index.asp

　　被挂木马：w1.akc8.com/01/s.exe

　　吉林区划地名网

　　hxxp://www.jlmz.gov.cn/

　　被挂木马：w1.akc8.com/01/s.exe

　　中国林业科研网

　　hxxp://www.caf.ac.cn/caf/detail.cfm?file=79954

　　被挂木马：w1.akc8.com/01/s.exe

　　黄河农网hxxp://www.hhnw.com/dzhb/detail.asp?id=102757&mykindname=????&typeid=52

　　被挂木马：w1.akc8.com/01/s.exe

　　中国植保植检网

　　hxxp://www.ppq.gov.cn/nzwbch/default.html

　　被挂木马：w1.akc8.com/01/s.exe