​​一、概述

腾讯御见威胁情报中心监测发现某输入法软件及某网吧管理软件内嵌的广告页面遭遇网页挂马攻击，这些软件启动时，会因内嵌的广告页面被挂马而中毒。中毒电脑被安装木马下载器、Steam盗号木马和广告刷量木马。监测数据表明，受影响的电脑超过5万台，其中有超1万台因未及时修补系统漏洞而中毒。 

腾讯御见威胁情报中心监测数据表明，受挂马影响的电脑超过5万台，其中有大约20%（即1万余台电脑）被安装多个盗号木马、广告刷量木马，以及木马下载器。盗号木马团伙精心构造的挂马代码使用了编号为CVE-2018-8174的高危漏洞，存在漏洞的电脑浏览器打开挂马页面会立刻中毒。腾讯安全专家建议网民及时安装操作系统补丁，使用腾讯电脑管家拦截网页挂马。

 有意思的是，通过病毒代码分析，发现这起挂马事件的始作俑者，会检测受害电脑IP，如果位于北京上海广东山东浙江五省市，就会停止进一步产生危害。

二、详细分析 

受挂马攻击的软件在请求广告时会访问挂马广告页面 

挂马URL:

hxxp://jx2.yknszc.cn/cn2/; www.hftg4j.cn:2002/index.html

​​

该广告页面中被嵌入了恶意脚本代码，代码通过ASCII编码，解码后内容为嵌入一个iframe，指向www5.hpx0.cn:2005/hpx02005.html(另一个受影响的软件会指向hxxp://www6.hpq0.cn/hpq02006.html)

www5.hpx0.cn:2005/hpx02005.html中同样是一段ASCII编码的脚本，解码内容后发现其中包含CVE-2018-8174漏洞利用代码，该漏洞影响多个版本的IE浏览器以及使用了IE内核的应用程序。 

广告模块内置的IE浏览器在访问挂马页面时，触发漏洞执行了恶意代码。

恶意脚本代码

CVE-2018-8174漏洞利用代码

​漏洞触发后执行 hxxp://www.mini00.com:8888/006.hta，该脚本通过powershell.exe继续下载和执行hxxp://www6.hpq0.cn:2006/2006.exe

​

木马分析

下载者母体2006.exe 

​

访问获取IP地址

​

​当检测到为以上地区（北上广山东浙江5省时），该下载者木马直接退出不执行。

​

​

hxxp://103.91.208.215:2019/zj/jc.txt

hxxp://103.91.208.215:2019/zj/st.txt

hxxp://103.91.208.215:2019/zj/ss.txt

hxxp://103.91.208.215:2019/zj/yy.txt

拉取以上链接内文件执行