VeryCD首页受广告页面牵连被黑客挂木马

　　今日，超级巡警团队监控到VeryCD首页因为第三方的广告页面被被黑客植入木马。此次挂马事件除利用了以前黑客常用的第三方漏洞如flash漏洞和realplayer漏洞以外，还利用了最近刚刚曝光了的Access Oday漏洞。当计算机有漏洞的用户浏览到VeryCD首页时将触发漏洞利用代码，在后台下载木马并运行。畅游巡警用户不受本次挂马事件的影响。

 　　一、事件分析：

　　VeryCD首页以框架的形式嵌入试尚网的广告页面(cimg.*******.cn/verycd/websrc/home/p1_760.htm)，而试尚网的广告页面内却被黑客置入恶意代码()，直接导致VeryCD首页被挂马。

图1：恶意代码

　　222.37.134.***/*******/adtools/index.htm内嵌入了va9sdhu***.cn/jj1.htm，jj1.htm内嵌了va9sdhu***.cn/xi/xx.htm页面，而xx.htm为一个漏洞的综合利用页面，该页面通过判断机器内置的ActiveX控件来分别调用不同的漏洞利用代码。其中的漏洞利用代码包括以下漏洞：系统漏洞MS06014、RealPlayer ierpplug.dll ActiveX控件播放列表名称栈溢出漏洞、联众世界GLIEDown2.dll Active控件任意代码执行漏洞、flash漏洞以及最近刚刚曝光的Access Oday漏洞。当计算机有漏洞的用户浏览到该页面时将触发漏洞，在后台自动下载木马并运行。

　　畅游巡警用户不受本次挂马事件的影响：

图2：畅游巡警监测出的木马

　　二、解决方案

　　1、推荐安装畅游巡警以应对网页木马的威胁。

　　2、推荐使用超级巡警补丁检查功能修复系统及第三方程序漏洞。

　　3、对于已经中毒用户，建议及时修改自己的QQ/网游账号密码。

　　4、建议广大站长谨慎嵌入第三方提供的广告页面。

　　5、超级巡警团队已通知Verycd官方此次挂马事件，Verycd官方已撤掉广告页面，目前大家可以放心访问Verycd。