手机之家论坛被黑客置入木马

　　今日，超级巡警反病毒小组监测到国内知名网站手机之家的论坛（http://bbs.imobile.com.cn/）被黑客置入木马。所有访问论坛的用户都将受到此次挂马事件的影响。被嵌入到网页中的恶意代码利用多个漏洞来传播木马，当计算机有漏洞的用户浏览到受影响页面时，将激活木马链接，自动下载木马病毒并运行。

　　一、事件分析：

　　手机之家论坛首页首页（http://bbs.imobile.com.cn/）内包含脚本*****_**.js，****_**.js被黑客插入加密的恶意代码。解密后得知是以框架的形式嵌入了网页木马（http://aa.***.net/ww/new280.htm）。网页木马new280.htm内嵌四个漏洞利用的脚本和一个统计脚本。四个漏洞利用脚本分别利用系统漏洞MS06014、暴风影音漏洞、PPStream漏洞和百度搜霸的漏洞来传播木马，当用户触发漏洞后网页木马将在后台自动连接网络（http://down.****.net/bb/014.exe）下载木马并运行。统计脚本用以统计受害者数量。

　　下载的木马地址为：http://down.****.net/bb/014.exe，此木马会连接网络下载大量的木马并运行。所下木马大部分为Trojan-PSW.Win32.OnLineGames家族的木马。如：

　　木马程序 Trojan-PSW.Win32.OnLineGames.fgr 文件: 1.exe

　　木马程序 Trojan-PSW.Win32.OnLineGames.fjr 文件: 10.exe

　　木马程序 Trojan-PSW.Win32.OnLineGames.fjw 文件: 11.exe

　　木马程序 Trojan-PSW.Win32.OnLineGames.dzq 文件: 12.exe

　　木马程序 Trojan-PSW.Win32.OnLineGames.fjd 文件: 13.exe

　　木马程序 Trojan-PSW.Win32.OnLineGames.eoa 文件: 14.exe

　　木马程序 Trojan-PSW.Win32.OnLineGames.eqr 文件: 15.exe

　　木马程序 Trojan-PSW.Win32.OnLineGames.dzs 文件: 16.exe

　　木马程序 Trojan-PSW.Win32.OnLineGames.eav 文件: 18.exe

　　木马程序 Trojan-PSW.Win32.OnLineGames.fhs 文件: 2.exe

　　木马程序 Trojan-PSW.Win32.OnLineGames.fdy 文件: 4.exe

　　木马程序 Trojan-PSW.Win32.OnLineGames.fdi 文件: 5.exe

　　木马程序 Trojan-PSW.Win32.Lmir.bnx 文件: 6.exe

　　木马程序 Trojan-PSW.Win32.OnLineGames.fhz 文件: 8.exe

　　木马程序 Trojan-PSW.Win32.OnLineGames.fhm 文件: 9.exe

　　以上木马运行后将监视用户系统，窃取用户的QQ账号/网游账号等。其中一部分木马做了免杀处理以逃避杀毒软件的查杀。

　　二、解决方案

　　1、推荐安装超级巡警监测查杀以上木马。

　　2、请广大用户及时更新常用应用软件，防止漏洞攻击。

　　3、建议用户不要使用IE内核的浏览器。

　　4、对于已经中毒用户，建议及时修改自己的QQ/网游账号密码。

　　注：此挂马事件已通知手机之家，官方尚未对此事做出反映。