12月16日16时开始，大量用户在访问腾讯、新浪、优酷、爱奇艺等知名网站时遭遇Flash漏洞挂马攻击，涉及网站上百家。难道这些网站集体被黑了？攻城狮立刻展开调查分析，并定位到这波大规模挂马的幕后真凶——叮叮天气。

叮叮天气是一款号称“天气数据最全、最准、最人性化的天气预报软件”，它通过捆绑安装、下载站推广等方式获取了庞大的用户量。不过，报天气只是其表面功能，它的隐藏“功能”是注入代码到IE和CHROME内核浏览器中，当这些浏览器访问国内网民常用的网站时，叮叮天气注入的代码会从其服务器上拉取广告代码并把广告插入在页面里。

从16日开始，叮叮天气拉取并插入浏览器进行劫持的广告有一个伪装成“大战神”的广告包含了漏洞挂马代码，导致用户在访问各大知名网站时遭到挂马攻击。如果用户电脑缺乏安全防护，恶意广告会触发网站上的漏洞攻击代码，自动下载运行一个流氓下载器，再强制安装数十款流氓软件。

由于叮叮天气通过帮5淘等软件捆绑安装获取了庞大的用户量，而它又劫持了上百家知名网站，其挂马攻击数量也因此突飞猛涨。根据叮叮天气的网站统计平台数据，仅16日，受该挂马网站攻击的用户就达到了37万，总次数达到了1986万次。

下图是恶意广告商利用百度广告联盟推广的伪装“大战神”的挂马广告，当浏览网站弹出这类广告时，实际后台已经加载了恶意的漏洞挂马样本。

挂马分析

以Chrome核心的浏览器为例，当安装了叮叮天气后，叮叮天气会向浏览器安装一个插件: ddtianqi_dep.crx，该插件和其辅助程序NaMsg.exe配合， 启动ddweather.exe程序。

当浏览器访问任意网站时，例如user.qzone.qq.com时，叮叮天气的插件会向hxxp://www.51bgz.com/1001 发送请求， 该网站会自动下发一个JS文件， 插件将该JS嵌入到当前网站中运行，关键代码如图：

接着，被嵌入的JS检测当前网站是否在要劫持的知名娱乐、新闻、军事类网站列表中，如果存在，就从CNZZ上拉取广告运行。

下面是部分被劫持的网站列表判断代码：

在CNZZ上拉取的广告会访问hxxp://www.wo560.com/anshua.html页面，使用iframe将该页面嵌入运行：

这个页面包含了4条百度联盟广告，其中ID为1167760的百度联盟广告中，包含了最终的漏洞攻击页面的代码：

Anshua.html （暗刷）页面的代码：

抓包发现百度广告联盟返回含有最终恶意攻击代码的广告页面：hxxp://172.87.29.51/37g.htm

这个攻击页面会加载一个SWF文件（hxxp:// 172.87.29.51/37FSDFSD5756FADS0fsdaGame.swf），该FLASH文件会利用Adobe Flash Player的NDAY漏洞CVE-2015-5119 漏洞，下载并安装恶意程序。

下面是SWF文件的部分漏洞利用关键代码：

{
            prototype.valueOf = function (){
                var _local_1:int;
                logAdd("MyClass.valueOf()");
                _va = new Array(5);
                _gc.push(_va);
                _ba.length = 0x1100;
                while (_local_1 < _va.length) {
                    _va[_local_1] = new Vector.<uint>(1008);
                    _local_1++;
                };
                return (64);
            };
        }

当恶意的SWF文件成功触发漏洞后，会从其木马网站上下载sever.exe并运行，该程序是一个恶意下载者，会从木马服务器下载多款软件强制安装在受害者电脑里，包括：USB宝盒、80易关机、小福日历、金山毒霸、广告拦截大师/净网大师、波波游戏、钰财购物比价助手、万能WiFi、暴风游戏盒子等。

分析发现，该挂马网站包含了一个统计后台，实时统计木马的传播情况，在统计平台上，可以初步观察到该挂马网站的传播情况：

可以看到，仅16日一天，访问挂马页面的次数就达到了惊人的1986万次，人数达到37万次，截止17日21点，挂马网站仍在活跃，访问次数已经达到了1465万，36万用户受到攻击。

以下是被叮叮天气广告插件劫持的网站完整列表：               

"www.4399.com"
"v.youku.com"
"www.letv.com"
"tv.sohu.com"
"www.tudou.com"
"t.qq.com"
"sports.sina.com.cn"
"news.4399.com"
"www.ku6.com"
"www.ce.cn"
"xyx.hao123.com"
"4399.iqiyi.com"
"www.youyuan.com"
"picture.youth.cn"
"news.xinhuanet.com"
"www.soku.com"
"news.k618.cn"
"photo.gmw.cn"
"economy.gmw.cn"
"sports.qq.com"
"news.youth.cn"
"www.chinanews.com"
"www.docin.com"
"news.china.com.cn"
"mil.sohu.com"
"www.wasu.cn"
"vod.kankan.com"
"sports.163.com"
"www.doc88.com"
"www.m1905.com"
"www.xxhh.com"
"www.baxue.com"
"www.3jy.com"
"www.jide123.com"
"www.junshi.cc"
"www.4399dmw.com"
"www.gexing.com"
"yule.2258.com"
"www.tianyi176.com"
"www.cxzww.com"
"www.211js.com"
"bbs.xinjunshi.com"
"www.guoman8.com"
"www.readnovel.com"
"bbs.miercn.com"
"www.23us.com"
"bbs.qianyan001.com"
"www.milnews2.com"
"photo.haiwainet.cn"
"pic.jrj.com.cn"
"www.cnrexue.com"
"tuku.military.china.com"
"xiao.39yst.com"
"www.junqing123.com"
"www.23hh.com"
"video.baomihua.com"
"www.juyouqu.com"
"www.mahua.com"
"www.top81.com.cn"
"www.fxingw.com"
"www.66721.com"
"www.epzw.com"
"www.u8xs.com"
"bbs.tiexue.net"
"qzone.qq.com"
"s.taobao.com"
"item.taobao.com"
"user.qzone.qq.com"
"mail.qq.com"
"www.sj88.com"
"news.ifeng.com"
"car.autohome.com.cn"
"www.iqiyi.com",
"news.qq.com",
"mp.weixin.qq.com",
"quote.eastmoney.com",
"www.zb8.com",
"ent.qq.com",
"mail.163.com",
"www.58pic.com",
"guba.eastmoney.com",
"www.autohome.com.cn",
"rc.qzone.qq.com",
"www.sohu.com",
"www.leitingcn.com",
"www.biquge.la",
"www.bdxyjz.com",
"news.sohu.com",
"fashion.qq.com",
"www.qulishi.com",
"www.9yaocn.com",
"gu.qq.com",
"blog.ifeng.com",
"car.bitauto.com",
"fund.eastmoney.com",
"www.zhibo8.cc",
"bbs.tianya.cn",
"fashion.ifeng.com",
"ent.ifeng.com",
"preview.mail.163.com",
"www.weather.com.cn",
"www.bilibili.com",
"s.weibo.com",
"mil.news.sina.com.cn",
"news.haiwainet.cn",
"v.ku6.com",
"www.7k7k.com",
"news.docer.com",
"bbs.qtv.com.cn",
"pic.chinadaily.com.cn",
"cpro.baidu.com"

* 作者：360安全卫士（企业账号），转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）