今日，DSW Lab Avert小组监测到国内知名网站泡泡网首页被黑客置入木马。被挂马的网页为泡泡网内嵌的一个广告页，将影响到所有展示此广告的网页，如http: //www.pcpop.com/。此次挂马事件利用暴风影音缓冲区漏洞和MS06014漏洞这两个漏洞，当计算机有漏洞的用户浏览到受影响页面时，将激活木马链接，自动下载木马病毒并运行。
   
一、事件分析：

        泡泡网首页（hxxp://www.pcpop.com/）以脚本的形式调用hxxp://33.pcpop.com/statistic/js/2265.js写入广告，此脚本中包含了被挂马的广告页面：hxxp://qa.qicaihong.com/colorful/103.htm，当引用此广告时页面即受到网页木马的影响。103.htm页面中以脚本的形式内置了hxxp://qa.qicaihong.com/colorful/103.js脚本，103.js又包含了hxxp://fs18.net/down8/we.htm页面。we.htm即为利用MS06017漏洞的页面，此页面又以框架的形式嵌套一个利用暴风影音漏洞的网页木马和一个用以统计受害者数量的统计页面。

         下载的木马地址为：hxxp://fs18.net/down8/ii.exe，此木马会链接网络获取hxxp://fs18.net/down5/dn.txt文件，并根据其中的地址下载大量的木马并运行。所下木马大部分为Trojan-PSW.Win32.OnLineGames家族的木马。如：
　　    木马程序 Trojan-PSW.Win32.OnLineGames.dpd 　　    文件: 10.exe
　　    木马程序 Trojan-PSW.Win32.QQPass.agd 　　    　　 文件: 1.exe
　　    木马程序 Trojan-PSW.Win32.OnLineGames.efn 　　    文件: 2.exe
　　    木马程序 Trojan-PSW.Win32.OnLineGames.dzp 　　    文件: 5.exe
　　    木马程序 Trojan-PSW.Win32.OnLineGames.ecl 　　    文件: 6.exe
　　    木马程序 Trojan-PSW.Win32.OnLineGames.dzz 　　    文件: 7.exe
　　    木马程序 Trojan-PSW.Win32.OnLineGames.ebf 　　    文件: 8.exe
　　    木马程序 Trojan-PSW.Win32.OnLineGames.edv 　　    文件: 9.exe
　　    木马程序 Trojan-PSW.Win32.OnLineGames.eeh　　     文件: 91.exe
　　    木马程序 Trojan-Spy.Win32.Delf.akg 　　    　　   文件: ii.exe
　　 以上木马运行后将监视用户系统，窃取用户的QQ账号/网游账号等。其中一部分木马做了免杀处理以逃避杀毒软件的查杀。

二、解决方案
　　     1、推荐安装超级巡警监测查杀以上木马。
　　     2、请广大用户及时更新常用应用软件，防止漏洞攻击。
　　     3、建议用户不要使用IE内核的浏览器。
　　     4、对于已经中毒用户，建议及时修改自己的QQ/网游账号密码。
　　     5、建议用户使用超级巡警的恶意网站屏蔽功能屏蔽fs18.net。
　　     6、目前泡泡网尚未对此事做出反应。

关于泡泡网：
　　     国内提供IT产品资讯的著名网站

超级巡警：彻底查杀各种木马，全面保护系统安全。
更多免费工具下载：http://www.dswlab.com
专业的桌面与内容安全产品：http://www.unnoo.com