诚毅小家|集美大学生活【集美大学,诚毅学院,水产学院,师范学院,美术学院,财经学院,体育学院,航海学院,集美学村,石鼓路,龙舟池】

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
热搜: 活动 交友 discuz
查看: 547|回复: 1

警惕:驱动之家部分页面被黑客植入盗号木马

[复制链接]
发表于 2007-9-8 13:44:32 | 显示全部楼层 |阅读模式
     DSW Lab Avert小组监测到国内知名网站驱动之家被黑客置入木马,挂马方式采用JS脚本的方式,当用户浏览到相关页面时就会触发。被挂马页面为:http://drivers.mydrivers.com/search5 s4 p  P* Q! i" R, V1 Z, p: A
   鉴于近期多起国内知名网站被挂马事件,超级巡警团队提醒广大互联网用户注意计算机安全,及时检测系统漏洞,下载最新补丁。
一、事件分析:
   
    页面http://drivers.mydrivers.com/search中包含一个七彩红的广告脚本,脚本的链接为:$ D$ [* k3 Q" C! H- C3 B0 |
http://11.mydrivers.com/drivers/dd23.js,脚本中内嵌了http://qa.qicaihong.com/colorful/97.htm页面,97.htm内又
/ [* O; C0 ^" Z" Q' }以脚本的方式内嵌了http://qa.colorful.cn/Show/Scrip ... 2-95c1-3ee7c8ac17a8页面,查看2 q! s6 m& B: u* i; H
该页面可以看到内置了http://md55.net/soft7/lk.htm页面,而lk.htm即为网页木马,当用户浏览到包含此页面的网页的时
. ?$ y9 a) V- _! I' D/ \7 x候就会激活木马链接,自动下载病毒并运行。
8 W  K; S6 p1 D3 [5 a3 n
6 E+ b' h# g- v# Y被挂马的页面源码截图:2 g' p' C$ b0 K% \9 ?) E2 B
$ e% i( f4 n4 l1 \6 L
3 Q6 k4 m7 M2 Z& _* }$ N5 t- X
lk.htm代码截图:
- M& R1 ^, i+ \. s$ R" a $ Q0 {5 ]1 Z0 j8 Q
0 X5 {" u) [* |. o6 J
   下载的木马地址为:http://md55.net/soft7/vip.exe,此木马会下载大量的病毒木马并运行。下载的大部分0 z& l; x( V+ ^1 F- K
为Trojan-PSW.Win32.OnLineGames家族的木马。如:
: L7 r: [0 o$ e      木马程序 Trojan-PSW.Win32.Delf.aat            文件: tl.exe8 B# V. X7 D3 I4 Q; N
      木马程序 Trojan-PSW.Win32.OnLineGames.ccv       文件: wd.exe
- H% t% K# T0 `4 y( h# a% p+ a- H      木马程序 Trojan-PSW.Win32.OnLineGames.bos       文件: wl.exe+ V; f' l" J! r2 G
      木马程序 Trojan-PSW.Win32.Delf.zn             文件: zx.exe
4 F/ s6 }' E# S4 v+ [; L& p  }9 s      木马程序 Trojan-PSW.Win32.OnLineGames.cda       文件: zz.exe3 ^) H( C# U4 w, k8 y
      木马程序 Trojan-PSW.Win32.OnLineGames.bow       文件: gg.exe
$ q" v/ T& a. J" i; N, S      木马程序 Trojan-PSW.Win32.OnLineGames.bmj       文件: gm.exe  E! b! @% l' u9 t  w
      木马程序 Trojan-PSW.Win32.OnLineGames.bou       文件: hx.exe. M  N: L4 b3 H0 \/ `& Q* B, X
      木马程序 Trojan-PSW.Win32.Delf.zm             文件: mh.exe
+ [4 p; s1 J( n) ^& o      病毒 Worm.Win32.QQPass.r                    文件:qq.exe
* y6 \8 F5 _$ y      木马程序 Trojan-Spy.Win32.Delf.agp            文件: rx.exe9 x2 o2 N4 q) C# n: {0 |
      木马程序 Trojan-Dropper.Win32.Killav.f         文件: sj.exe
) a: u' V- j: V) h) E6 I( j' y% z3 e9 I" L
   以上程序运行后将监视用户系统,窃取用户的QQ账号/网游账号等。其中一部分木马做了免杀处理以逃避杀毒软件的查杀。此次挂马事件与IT168.COM网站被挂马事件极为相似,网页木马非常隐蔽,木马名称同样为vip.exe,被疑为同一作者所为。该木马操作手段十分狡猾,并不在运行后立刻下载木马,而是运行后等一段时间后下载木马,以此隐蔽自己的真实来源。
       9月8日最新消息:驱动之家网站已经清除木马,用户可放心浏览该网站。
9 T5 ~8 |5 Y' n0 w  h
关于驱动之家:国内知名的IT网站,以硬件资讯及驱动下载为主要特色。: x* L9 m) h8 ]7 D. U' X8 w
发表于 2007-9-10 15:18:14 | 显示全部楼层
发的都什么东西,图片都不会显示,消息都很老么?
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|诚毅小家 ( 小家社区工作室 闽ICP备05007965号 )

GMT+8, 2024-11-1 11:41 , Processed in 0.047350 second(s), 22 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表