Adobe 的 Serious Magic 网站遭 Asprox 僵尸网络 SQL 注射攻击

据 SophosLabs 报道，Adobe 拥有的 seriousmagic.com 网站刚刚遭受 Asprox 僵尸网络的 SQL 注射攻击，成为近来被攻击的最著名站点。

被感染的网页位于 hxxp://www.seriousmagic.com/help/tuts/tutorials.cfm?p=1, 访问该页的用户将被偷偷地安装一个恶意程序。Adobe 两年前宣布收购 Serious Magic，现在 Serious Magic 的 Whois 信息显示，Adobe 是它的新主人。

据反病毒厂商 Sophos 的一篇文章透露，Adobe 已经注意到自己的网页被感染，但 The Register 周四用虚拟机试图访问这个感染页的时候，发现仍被引导到一些恶意站点，包括 hxxp://abc.verynx.cn/ w.js 以及 hxxp://1.verynx.cn/w.js。目前，这两个地址已经失效，但攻击中使用的另外几个地址，包括 hxxp://jjmaobuduo.3322.org/csrss/ w.js 与 hxxp://www2.s800qn.cn/csrss/ new.htm 仍然有效。

Asprox 僵尸网络 5，6月期间曾成功攻击过 Redmond magazine，Sony Playstation 等著名站点，没过多久，Serious Magic 再成为牺牲品。

被感染的每一个网页都被无休止地执行一段 Javascript 代码并将用户引导到恶意站点或广告站点。同时，w.js 会尝试各种系统漏洞，并使用以下结构，将一个查杀率很低的病毒 Worm.Win32.AutoRun.qtg 安装到用户的系统。（该病毒的查杀率仅80.56%）

www2.s800qn.cn /csrss/ new.htm
www2.s800qn.cn /csrss/ flash.htm
www2.s800qn.cn /csrss/ i1.htm
www2.s800qn.cn /csrss/ f2.htm
www2.s800qn.cn /csrss/ i1.html
www2.s800qn.cn /csrss/ flash112.htm
www2.s800qn.cn /csrss/ ff.htm
www2.s800qn.cn /csrss/ xl.htm
www2.s800qn.cn /csrss/ mi.htm
www2.s800qn.cn /csrss/ real10.htm
www2.s800qn.cn /csrss/ real11.htm
bbexe.com /csrss/ rondll32.exe

目前，Adobe 似乎已经清除了这个病毒。

本文国际来源：http://blogs.zdnet.com/security/?p=2039
中文翻译来源：COMSHARP CMS （锐商企业CMS）官方网站