近日有安全團(tuán)隊(duì)發(fā)現(xiàn)部分“2345導(dǎo)航站”首頁(yè)的彈窗廣告攜帶盜號(hào)病毒，該病毒會(huì)偷取QQ、游戲平臺(tái)（steam、WeGame）、知名游戲（地下城與勇士、英雄聯(lián)盟、穿越火線）的賬號(hào)。這是一次設(shè)計(jì)精巧、組織周密的大規(guī)模盜號(hào)行動(dòng)，利用周末時(shí)間突然發(fā)起攻擊，主要目標(biāo)是網(wǎng)吧游戲用戶。

工程師分析，部分“2345導(dǎo)航站”首頁(yè)右下角會(huì)彈出彈窗廣告（上圖紅色箭頭所指），該廣告頁(yè)面一經(jīng)彈出，即可自動(dòng)下載病毒，無(wú)需用戶點(diǎn)擊。病毒下載鏈接自動(dòng)激活后，首先訪問(wèn)跳板網(wǎng)站“yyakeq.cn”（存放跳板腳本以及flash漏洞），然后再?gòu)摹癱e56b.cn”網(wǎng)站下載病毒，而盜取的QQ、游戲等賬號(hào)則被上傳到“zouxian1.cn”網(wǎng)站。

該病毒利用IE瀏覽器漏洞和Flash漏洞進(jìn)行傳播，受影響Flash控件版本從21.0.0.180至31.0.0.160。所有使用360、搜狗等主流瀏覽器的用戶，如果其Flash控件是以上版本，都會(huì)被感染。

2345、hao774等多個(gè)2345旗下導(dǎo)航站中廣告內(nèi)容帶有漏洞攻擊代碼。通過(guò)分析確認(rèn)，初步認(rèn)定2345旗下導(dǎo)航站被投毒。廣告內(nèi)容涉及瀏覽器漏洞和Flash漏洞，漏洞代碼執(zhí)行后會(huì)從C&C服務(wù)器下載執(zhí)行病毒代碼，現(xiàn)階段發(fā)現(xiàn)的病毒代碼內(nèi)容多為盜號(hào)病毒。該漏洞攻擊只針對(duì)特定的推廣計(jì)費(fèi)號(hào)，再聯(lián)系其廣告內(nèi)容“高價(jià)在線回收所有網(wǎng)游裝備/金幣”，推斷此次攻擊主要針對(duì)對(duì)象主要為網(wǎng)絡(luò)游戲人群，且針對(duì)性極強(qiáng)。

通過(guò)對(duì)域名yyakeq.cn和ce56b.cn的溯源，發(fā)現(xiàn)上述域名分別由名為“武漢躍譜騰科技有限公司”和名為“邵東綠設(shè)空間工程設(shè)計(jì)有限公司”的公司注冊(cè)，且兩公司還注冊(cè)了至少幾千個(gè)名稱看似毫無(wú)含義、近乎隨機(jī)生成的域名，其中一些域名指向頁(yè)面包含明顯的欺詐內(nèi)容，所以不排除這些域名是想在未來(lái)用作C&C服務(wù)的DGA（Dynamic Generation Algorithm）域名。

cc

收藏 海報(bào)分享