【51CTO.com综合报道】国庆佳节临近,不少御宅一族都选择避开人流涌动的高峰期而躲在家里或者学校里玩游戏,这当然也是个比较好的选择,但是AVG不得不提醒广大用户:在选择游戏的时候不要被一些稀缺而免费的公测账号晃花了眼。因为就在近期,AVG中国病毒实验室就监测到大量恶意网站利用CVE-2010-0806漏洞进行入侵,并且他们的“着装”就是热门网游网站。
该恶意网站将自己伪装成热门网游,并谎称能发放公测账号,当有玩家点击相关链接后,便会出现如下内容:
由于恶意shellcode从写入到执行,往往需要一段时间,在此期间浏览器会出现假死状态,这样就会很容易被细心的人所察觉到。为了消除浏览者的疑心,黑客将页面内容设置为等待数据载入,这样就巧妙地保护了自己。
下面我们就看来伪装背后的真面目:
我们看到的页面内容其实只是插图和文字:
目的只是为其后的恶意代码做掩饰:
该恶意代码正是利用了最近流行的CVE-2010-0806漏洞,该漏洞是Microsoft IE畸形对象操作导致的内存破坏。
Internet Explorer通过使用iepeers.dll组件提供对Web文件夹和打印的支持,该组件中存在释放后使用错误。如果用户加载了特制的HTML文档,黑客利用特制的攻击代码可以通过该漏洞实现远程执行任意程序,其危害不言而喻。
漏洞触发相关代码:
包含的恶意shellcode:
申请内存,并将shellcode写入:
最后利用shellcode下载的恶意程序地址:
至此,如果有玩家访问了这个冒牌网游网站,就会触发漏洞,下载恶意的木马,经过AVG中国实验室分析,这个木马会下载其他盗号木马。所以这个冒牌的网游网站不是发放公测账号的,而是用来盗取玩家网游账号的。
面对这样的情况,AVG建议广大网友在玩乐的同时不要忘记为自己选一款靠谱的杀毒软件。刚刚登陆中国不久的AVG 2012永久免费中文版,不仅在运行速度显著加快,平均磁盘占用减少了45%,处理器和内存占用减少了20%,启动速度提高了20%;并且,AVG 2012永久免费中文版已将此漏洞检测为Microsoft iepeers Exploit,能够有效阻止该威胁。