警惕网页中流媒体文件 不明的地址勿访问

　　昨日，安天cert组发现一起典型的入侵挂马事件，恶意者利用政府网站散布含有木马的帖子链接，特此提醒广大用户：来源不明的地址勿访问！

　　被黑网站：

http://ecc****gov.cn/

　　病毒所在的详细地址为：

http://ecc****gov.cn/i****s/music.htm
http://221.***.***.99/****/music.htm

　　该恶意用户挂载病毒后，便将这连个地址贴到一些论坛中去，如：

http://post.baidu.com/f?kz=*******

　　当用户浏览这两个music页面的时候，该页面中嵌入使用RealPlayer播放的music.smi文件，使得用户机子上启动RealPlayer来播放，music.smi文件中内置一个ShellCode代码，溢出用户机器中存在漏洞的RealPlayer版本，执行里面的ShellCode代码，并从http://221.***.***.99/***/setup.exe下载一个灰鸽子变种到目标主机，该变种运行后，会注入到IExploer.exe进程中，而后尝试连接http://51****k.cn/ip.jpg，以便获取IP地址。

　　以下为该病毒的分析：

　　病毒名称：Backdoor.Win32.Hupigon.f
　　中文名称：灰鸽子变种
　　病毒类型：木马后门
　　危害等级：高
　　文件长度：514,108字节
　　感染系统：Win9x以上所有版本
　　开发工具：Delphi
　　加壳类型：Nspack

　　1、该病毒运行后会释放如下文件：

%Windir%/winSe.DLL %Windir%/winSe_Hook.DLL %Windir%/winServer

文件属性：隐藏、只读、系统 文件属性：存档 文件属性：隐藏、只读、系统

　　2、尝试连接 http://51****k.cn/ip.jpg来获得IP地址，即木马控制者设定的IP地址：60.***.***.211，端口：8000

　　3、木马将自身添加为系统服务：

服务名称：winServer
文件路径：%Windir%/winServer

　　三、关于RealPlayer溢出漏洞：

　　1、该RealPlayer漏洞全名为：

　　RealNetworks RealPlayer .smil文件处理缓冲区溢出漏洞

　　2、该RealPlayer漏洞原因为：RealPlayer处理“.smil”文件的某些属性字段时，没有对拷贝操作中的一些字符串作严格的限制，因此存在缓冲区溢出漏洞。

　　攻击者可通过精心构造“.smil”文件可以使RealPlayer执行任意恶意指令，从而入侵并控制被溢出者的电脑。

　　注：“.smil”文件是RealPlayer的一种可播放的文件格式，在“.smil”文件中包含了真实的影片文件地址，以及一些相应的播放设置。当用RealPlayer打开这个文件时，会自动连接文件中真实的影片链接地址，播放相应的影片。

　　3、该漏洞存在于RealPlayer的各个版本中，其中受影响的版本包括：

Windows RealPlayer 10.5 (6.0.12.1040-1056)
Windows RealPlayer 10
Windows RealOne Player v2 (6.0.11.853 - 872)
Windows RealOne Player v2 (6.0.11.818 - 840)