三言财經9月20日消息,近日,據火絨安全實驗室報道,火絨團隊截獲一起利用阿裡旺旺升級漏洞,通過HTTP劫持植入病毒的攻擊事件。目前,阿裡巴巴官方下載的阿裡旺旺新、舊兩版本均存在該漏洞。
該漏洞的利用需要一定前提條件(通過HTTP劫持進行),所以用戶也不需要過分擔心。
附報告全文:
近日,火絨安全團隊在用戶現場截獲一起利用阿裡旺旺升級漏洞,通過HTTP劫持植入病毒的攻擊事件,攻擊者可利用該漏洞下發任意代碼。截止到目前,從阿裡官方下載的阿裡旺旺新、舊兩個版本(買家版)均存在此漏洞。
火絨在被劫持現場中發現,阿裡旺旺升級程序在發送升級請求後,會将被投放的病毒動态庫當作合法程序模塊加載執行。通過分析發現,該事件與之前火絨披露的利用QQ升級模塊投毒的攻擊手段極為相似。我們在實驗室還原了漏洞利用環境,為避免該漏洞被廣泛利用,火絨不會公開披露相關漏洞細節。複現環境現場,如下圖所示:
此次投放的後門病毒與不久前QQ升級程序被利用所投放的後門病毒具有極高同源性,相關同源代碼,如下圖所示:
解密代碼Key相同
解密代碼邏輯相同
另外,主要病毒邏輯也大體相同:
1. 從資源節解密加載遠控核心模塊,相關代碼如下圖所示:
解密加載核心模塊
2. 獲取用戶系統相關信息,相關代碼如下圖所示:
獲取用戶系統
3. 執行遠程命令,相關代碼如下圖所示:
執行遠程命令
,
zpostcode 
Recruit 
weather 
mreligion 
Yellowpages 
sport 
constellation 
shopping 
name 
game 
directory 
literature 
Word 
tour 
furnish 
Lottery 
tftnews 
lyrics 
News 
digital 
car 
dir 
Edu 
Finance 
