今日，超级巡警接到用户举报，怀疑某知名IT网站部分页面被黑客置入盗号木马，经确认，某知名IT网站游戏频道内部分页面确实被黑客置入木马。此次挂马事件利用大量应用程序漏洞，当计算机有漏洞的用户浏览到该页面时将触发漏洞，在后台下载木马并运行。超级巡警团队提醒用户注意更新常用应用程序，预防更多漏洞攻击。

　　一、事件分析：

　　该页面（http://games.***.com.cn/zhoubian/realdoll.php？&page=1）被黑客以框架的形式嵌入了网页木马页面： http://www.souxse.cn/***/695.htm。695.htm页面内包含三个统计脚本和一个以框架的形式嵌入的页面14.htm。14.htm为加密后的网页木马，所利用的漏洞有：系统漏洞MS06014、暴风影音II mps.dll ActiveX栈溢出漏洞、PPStream堆栈溢出漏洞、联众游戏聊天室组件漏洞、超星阅览器Pdg2 ActiveX控件栈溢出漏洞、迅雷ActiveX控件DownURL2方式远程缓冲区溢出漏洞、RealPlayer ierpplug.dll ActiveX控件播放列表名称栈溢出漏洞、百度超级搜霸远程代码执行漏洞，几乎囊括了所有的流行应用程序漏洞。当计算机有漏洞的用户浏览到该页面时将触发漏洞，在后台自动下载木马并运行。

挂马页面源码截图：

解密后的网页木马截图：

　　下载的木马地址为：http://www.souxse.cn/**.exe，此木马会链接网络获取http://www.souxse.cn/****.txt文件，