【51CTO.com綜合報道】國慶佳節(jié)臨近，不少御宅一族都選擇避開人流涌動的高峰期而躲在家里或者學(xué)校里玩游戲，這當然也是個比較好的選擇，但是AVG不得不提醒廣大用戶：在選擇游戲的時候不要被一些稀缺而免費的公測賬號晃花了眼。因為就在近期，AVG中國病毒實驗室就監(jiān)測到大量惡意網(wǎng)站利用CVE-2010-0806漏洞進行入侵，并且他們的“著裝”就是熱門網(wǎng)游網(wǎng)站。

該惡意網(wǎng)站將自己偽裝成熱門網(wǎng)游，并謊稱能發(fā)放公測賬號，當有玩家點擊相關(guān)鏈接后，便會出現(xiàn)如下內(nèi)容：

由于惡意shellcode從寫入到執(zhí)行，往往需要一段時間，在此期間瀏覽器會出現(xiàn)假死狀態(tài)，這樣就會很容易被細心的人所察覺到。為了消除瀏覽者的疑心，黑客將頁面內(nèi)容設(shè)置為等待數(shù)據(jù)載入，這樣就巧妙地保護了自己。

下面我們就看來偽裝背后的真面目：

我們看到的頁面內(nèi)容其實只是插圖和文字：

目的只是為其后的惡意代碼做掩飾：

該惡意代碼正是利用了最近流行的CVE-2010-0806漏洞，該漏洞是Microsoft IE畸形對象操作導(dǎo)致的內(nèi)存破壞。

Internet Explorer通過使用iepeers.dll組件提供對Web文件夾和打印的支持，該組件中存在釋放后使用錯誤。如果用戶加載了特制的HTML文檔，黑客利用特制的攻擊代碼可以通過該漏洞實現(xiàn)遠程執(zhí)行任意程序，其危害不言而喻。

漏洞觸發(fā)相關(guān)代碼：

包含的惡意shellcode：

申請內(nèi)存，并將shellcode寫入：

最后利用shellcode下載的惡意程序地址：

至此，如果有玩家訪問了這個冒牌網(wǎng)游網(wǎng)站，就會觸發(fā)漏洞，下載惡意的木馬，經(jīng)過AVG中國實驗室分析，這個木馬會下載其他盜號木馬。所以這個冒牌的網(wǎng)游網(wǎng)站不是發(fā)放公測賬號的，而是用來盜取玩家網(wǎng)游賬號的。

面對這樣的情況，AVG建議廣大網(wǎng)友在玩樂的同時不要忘記為自己選一款靠譜的殺毒軟件。剛剛登陸中國不久的AVG 2012永久免費中文版，不僅在運行速度顯著加快，平均磁盤占用減少了45%，處理器和內(nèi)存占用減少了20%，啟動速度提高了20%；并且，AVG 2012永久免費中文版已將此漏洞檢測為Microsoft iepeers Exploit，能夠有效阻止該威脅。