近日部分用户在访问腾讯迷你首页网站( http://mini****.qq.com/)时,会被恶意代码感染,系统会自动从恶意网站上下载并运行恶意程序,以下为详细分析……
【IT专家网独家】近日安天实验室反恶意代码监测网发现,部分用户在访问腾讯迷你首页网站( http://mini****.qq.com/)时,会被恶意代码感染,系统会自动从恶意网站上下载并运行恶意程序。由于该站点为QQ软件启动时默认自动弹出,具有极高的访问量,安天CERT提醒用户及厂商需引起注意。
通过进一步的技术分析,发现攻击者采用的攻击方法为劫持DNS解析过程,篡改腾讯迷你首页的DNS记录,攻击点发生在运营商的DNS服务器或该服务器的上行网络环境中,影响用户为使用该DNS的用户。
确认的过程如下:
通过有关渠道确认58.215.79.*非腾讯机房IP,排除腾讯机房自身问题。向多个DNS发起请求,发现DNS服务器219.150.32.*返回错误的地址信息,判定攻击为dns劫持。通过位于全球的多个监测节点向该DNS发起解析,得到同样被篡改的解析结果,排除单个监测节点的线路被劫持。
通过以上手段,可以定位攻击发生在该DNS或该DNS连入互联网的上行网络环境中,攻击方法为篡改特定DNS的记录, 造成服务器正常的DNS响应被修改,用户访问的网页中被插入恶意链接,这种攻击方式,具有针对性,并有一定的隐蔽性,处理上需要多个环节的协同,增加了处理的难度。
由于该服务器返回的解析结果有时正确,有时错误,我们猜测是DNS服务器受到了arp欺骗攻击,而由于该ARP欺骗软件的效率问题,导致未能劫持全部DNS解析记录,从而向该DNS的解析有时正确,有时错误。
» 阅读全文