近日接到多起反馈盗号问题,经过排查后确定为又一利用IE远程执行漏洞在网吧传播,导致部分网吧收到重创。在排查过程中发现,网吧在游戏途中弹出一个网页广告后,此病毒就开始运行。分析发现在打开的广告的地址中包含一个html,访问此html后及触发了漏洞。

f11.png

客户机在弹出这个网页2秒钟后,IE就自动执行了CMD.exe创建VBS脚本下载木马程序到客户机。

f12.png

然后msiexec.exe把程序释放到config目录内并执行起来

f3.png

等玩家登录QQ之后QQ会被结束掉然后弹出钓鱼窗口,完成盗号

135227vgxx8epgpeer5euo.png

在对病毒进行简单分析后,初步定位为IE远程执行漏洞CVE-2014-6332,安全公告号MS14-064。该漏洞贯穿目前所有主流系统

在经过长达1星期的测试、远程复现环境后可以确定为CVE-2014-6332漏洞,并且通过安装KB3006226补丁后解决问题。但是遗憾的是微软并没有提供XP下的解决方案

【解决方案】

安装微软针对MS14-064补丁程序:

https://technet.microsoft.com/library/security/ms14-064   (请根据你的系统类型自主选择补丁包)

http://pan.baidu.com/s/1hqs2Ssc (该附仅为WIN764位下的KB3006226)

记得删除windowspowsershell组件

win764位的话在C:\windows\system32\windowspowershell,C:\windows\syswow64\windowspowershell

运营商劫持LOL等客户端海量级挂马

锐捷路由器漏洞导致网页被重定向挂马网站导致盗号

 盗号案例二——破解版净网先锋导致

盗号案例一——盗版万象计费导致