近日国家互联网应急中心(CNERT)发布一则《关于部分境内网站存在Ramnit恶意代码攻击的有关情况通报》的通报,根据通报内容,一段名为“Ramnit”的网页恶意代码被挂载在境内近600个党政机关、企事业单位网站上,当用户访问被挂马网站时很有可能遭到病毒攻击,对用户的电脑构成安全威胁。
根据通报,Ramnit恶意代码是一个典型的VBScript蠕虫病毒,能够通过网页挂马的方式进行传播,用户在浏览器中浏览挂载该恶意代码的HTML页面后并点击加载ActiveX控件后主机就有可能受到恶意代码的感染。下图为Ramnit代码在页面中驻留的代码片断。
图1. HTML页面的Ramnit恶意代码片断(来源:Fireeye)
Ramnit 主要在用户%TEMP%文件夹(这个文件夹一般不会让你看到,不用问在哪里)中植入一个名为“svchost.exe”的二进制文件并执行关联的 ActiveX控件,受感染的用户主机会试图连接到与Ramnit相关的一个木马控制服务器——fget-career.com。如下图所示:
图2 . svchost.exe被植入(来源:Fireeye)
根 据目前的分析情况,Chrome(谷歌浏览器)和Firefox(火狐)浏览器用户不会受到恶意代码的影响,而较高版本的IE浏览器会对此类 ActiveX控件提出警告并不自动执行。而低版本的IE浏览器用户或者进行了不安全配置(比如:设置信任不明来源的ActiveX控件)的IE用户容易 受到恶意代码的威胁。
根据CNCERT 2015年11月至2016年3月间的巡检结果,境内大约有1250台境内WEB服务器被挂载过Ramnit恶意代码,被入侵的服务器主要类型为IIS(占比69.3%),这类服务器ASP做的网站较多,其次是Apache服务器(占比19.2%)。
对于此,建议用户:
1、IE浏览器用户设置一下安全设置(建议设置为中-高安全级别),是否执行来源不明的ActiveX控件由我们做出选择,或者禁止执行来源不明的ActiveX控件。
2、舍弃旧版本的IE浏览器,使用谷歌浏览器、火狐浏览器、QQ浏览器或者360安全浏览器常用等,都比低版本的IE强。
3、升级电脑安全管家,安装最新的腾讯电脑管家或者360安全卫士,经常杀毒清理垃圾。
建议党政机关、企事业单位升级网站,IDC服务商升级服务器、强化服务器。如需网站建设(选择Apache服务器+PHP开发语言)、网站升级可联系我们,如有其它相关问题咨询也可联系我们。