近日有安全团队发现部分“2345导航站”首页的弹窗广告携带盗号病毒,该病毒会偷取QQ、游戏平台(steam、WeGame)、知名游戏(地下城与勇士、英雄联盟、穿越火线)的账号。这是一次设计精巧、组织周密的大规模盗号行动,利用周末时间突然发起攻击,主要目标是网吧游戏用户。

盗号病毒

工程师分析,部分“2345导航站”首页右下角会弹出弹窗广告(上图红色箭头所指),该广告页面一经弹出,即可自动下载病毒,无需用户点击。病毒下载链接自动激活后,首先访问跳板网站“yyakeq.cn”(存放跳板脚本以及flash漏洞),然后再从“ce56b.cn”网站下载病毒,而盗取的QQ、游戏等账号则被上传到“zouxian1.cn”网站。

该病毒利用IE浏览器漏洞和Flash漏洞进行传播,受影响Flash控件版本从21.0.0.180至31.0.0.160。所有使用360、搜狗等主流浏览器的用户,如果其Flash控件是以上版本,都会被感染。

2345、hao774等多个2345旗下导航站中广告内容带有漏洞攻击代码。通过分析确认,初步认定2345旗下导航站被投毒。广告内容涉及浏览器漏洞和Flash漏洞,漏洞代码执行后会从C&C服务器下载执行病毒代码,现阶段发现的病毒代码内容多为盗号病毒。该漏洞攻击只针对特定的推广计费号,再联系其广告内容“高价在线回收所有网游装备/金币”,推断此次攻击主要针对对象主要为网络游戏人群,且针对性极强。

通过对域名yyakeq.cn和ce56b.cn的溯源,发现上述域名分别由名为“武汉跃谱腾科技有限公司”和名为“邵东绿设空间工程设计有限公司”的公司注册,且两公司还注册了至少几千个名称看似毫无含义、近乎随机生成的域名,其中一些域名指向页面包含明显的欺诈内容,所以不排除这些域名是想在未来用作C&C服务的DGA(Dynamic Generation Algorithm)域名。