據Sophos Labs報道,Adobe擁有的seriousmagic.com網站剛剛遭受Asprox僵屍網絡的SQL注射攻擊,成爲近來(lái)被攻擊的最著名站點。
被感染的網頁位于hxxp://www.seriousmagic.com/help/tuts/tutorials.cfm?p=1,訪問(wèn)該頁的用戶将被偷偷地安裝一個惡意程序。Adobe兩年(nián)前宣布收購(gòu)SeriousMagic,現在SeriousMagic的Whois信息顯示,Adobe是它的新主人(rén)。
據反病毒廠(chǎng)商Sophos的一篇文章(zhāng)透露,Adobe已經注意到自(zì)己的網頁被感染,但(dàn)TheRegister周四用虛拟機(jī)試圖訪問(wèn)這個感染頁的時候,發現仍被引導到一些惡意站點,包括hxxp://abc.verynx.cn/w.js以及hxxp://1.verynx.cn/w.js。目前,這兩個地址已經失效,但(dàn)攻擊中使用的另外幾個地址,包括hxxp://jjmaobuduo.3322.org/csrss/w.js與hxxp://www2.s800qn.cn/csrss/new.htm仍然有效。
Asprox僵屍網絡5,6月期間曾成功攻擊過Redmond magazine,Sony Playstation等著名站點,沒過多久,SeriousMagic再成爲犧牲品。
被感染的每一個網頁都(dōu)被無休止地執行一段Javascript代碼并将用戶引導到惡意站點或廣告站點。同時,w.js會嘗試各種系統漏洞,并使用以下結構,将一個查殺率很低的病毒Worm.Win32.AutoRun.qtg安裝到用戶的系統。(該病毒的查殺率僅80.56%)
www2.s800qn.cn/csrss/new.htm
www2.s800qn.cn/csrss/flash.htm
www2.s800qn.cn/csrss/i1.htm
www2.s800qn.cn/csrss/f2.htm
www2.s800qn.cn/csrss/i1.html
www2.s800qn.cn/csrss/flash112.htm
www2.s800qn.cn/csrss/ff.htm
www2.s800qn.cn/csrss/xl.htm
www2.s800qn.cn/csrss/mi.htm
www2.s800qn.cn/csrss/real10.htm
www2.s800qn.cn/csrss/real11.htm
bbexe.com/csrss/rondll32.exe
目前,Adobe似乎已經清除了這個病毒。
中文翻譯來(lái)源:COMSHARPCMS(銳商企業CMS)官方網站