近日，火絨安全團隊在用戶現場截獲一起利用阿里旺旺升級漏洞，通過HTTP劫持植入病毒的攻擊事件，攻擊者可利用該漏洞下發任意代碼。截止到目前，從阿里官方下載的阿里旺旺新、舊兩個版本（買家版）均存在此漏洞。

經過技術分析，火絨工程師基本排除本地劫持和路由器劫持的可能性，不排除運營商劫持的可能。具體劫持技術分析尚在跟進，火絨安全團隊也會對此次攻擊事件進行跟踪分析。

火絨工程師表示，該漏洞的利用需要一定前提條件（通過HTTP劫持進行），所以用戶也不需要過分擔心，但為避免該漏洞被更大範圍利用，火絨不便公開透露漏洞相關細節，只會向阿里相關技術部門提供詳細漏洞分析內容。

值得強調的是，這是繼不久前QQ升級程序被發現存在漏洞事件後，再次出現廠商軟件因升級漏洞被劫持並植入病毒事件，巧合的是，兩者被植入的病毒也有極高的同源性，推測為同一病毒團伙所為。

相關報告：《騰訊QQ升級程序存在漏洞被利用植入後門病毒》

【分析報告】

近日，火絨安全團隊在用戶現場截獲一起利用阿里旺旺升級漏洞，通過HTTP劫持植入病毒的攻擊事件，攻擊者可利用該漏洞下發任意代碼。截止到目前，從阿里官方下載的阿里旺旺新、舊兩個版本（買家版）均存在此漏洞。

火絨在被劫持現場中發現，阿里旺旺升級程序在發送升級請求後，會將被投放的病毒動態庫當作合法程序模塊加載執行。通過分析發現，該事件與之前火絨披露的利用QQ升級模塊投毒的攻擊手段極為相似。我們在實驗室還原了漏洞利用環境，為避免該漏洞被廣泛利用，火絨不會公開披露相關漏洞細節。復現環境現場，如下圖所示：

此次投放的後門病毒與不久前QQ升級程序被利用所投放的後門病毒具有極高同源性，相關同源代碼，如下圖所示：

解密代碼Key相同

解密代碼邏輯相同

另外，主要病毒邏輯也大體相同：

1. 從資源節解密加載遠控核心模塊，相關代碼如下圖所示:

解密加載核心模塊

2. 獲取用戶系統相關信息，相關代碼如下圖所示:

獲取用戶系統

3. 執行遠程命令，相關代碼如下圖所示:

執行遠程命令