昨日，安天cert组发现一起典型的入侵挂马事件，恶意者利用政府网站散布含有木马的帖子链接，特此提醒广大用户：来源不明的地址勿访问！

被黑网站：

http://ecc****gov.cn/

病毒所在的详细地址为：

http://ecc****gov.cn/i****s/music.htm

http://221.***.***.99/****/music.htm

该恶意用户挂载病毒后，便将这连个地址贴到一些论坛中去，如：

http://post.baidu.com/f?kz=*******

当用户浏览这两个music页面的时候，该页面中嵌入使用RealPlayer播放的music.smi文件，使得用户机子上启动RealPlayer来播放，music.smi文件中内置一个ShellCode代码，溢出用户机器中存在漏洞的RealPlayer版本，执行里面的ShellCode代码，并从http://221.***.***.99/***/setup.exe下载一个灰鸽子变种到目标主机，该变种运行后，会注入到IExploer.exe进程中，而后尝试连接http://cimg2.163.com/catchpic/0/07/075CDC5FEEF3B081018DE20D1D01BEE7.jpg，以便获取IP地址。

文章转载地址：http://www.cnpaf.net/Class/hack/06101110491160278793.html