页面
http://drivers.mydrivers.com/search中包含一个七彩红的广告脚本,脚本的链接为:
$ D$ [* k3 Q" C! H- C3 B0 |
http://11.mydrivers.com/drivers/dd23.js,脚本中内嵌了
http://qa.qicaihong.com/colorful/97.htm页面,97.htm内又
/ [* O; C0 ^" Z" Q' }以脚本的方式内嵌了
http://qa.colorful.cn/Show/Scrip ... 2-95c1-3ee7c8ac17a8页面,查看
2 q! s6 m& B: u* i; H
该页面可以看到内置了
http://md55.net/soft7/lk.htm页面,而lk.htm即为网页木马,当用户浏览到包含此页面的网页的时
. ?$ y9 a) V- _! I' D/ \7 x候就会激活木马链接,自动下载病毒并运行。
8 W K; S6 p1 D3 [5 a3 n
6 E+ b' h# g- v# Y被挂马的页面源码截图:
2 g' p' C$ b0 K% \9 ?) E2 B
$ e% i( f4 n4 l1 \6 L
3 Q6 k4 m7 M2 Z& _* }$ N5 t- X
lk.htm代码截图:
- M& R1 ^, i+ \. s$ R" a $ Q0 {5 ]1 Z0 j8 Q
0 X5 {" u) [* |. o6 J
下载的木马地址为:
http://md55.net/soft7/vip.exe,此木马会下载大量的病毒木马并运行。下载的大部分
0 z& l; x( V+ ^1 F- K
为Trojan-PSW.Win32.OnLineGames家族的木马。如:
: L7 r: [0 o$ e 木马程序 Trojan-PSW.Win32.Delf.aat 文件: tl.exe
8 B# V. X7 D3 I4 Q; N
木马程序 Trojan-PSW.Win32.OnLineGames.ccv 文件: wd.exe
- H% t% K# T0 `4 y( h# a% p+ a- H 木马程序 Trojan-PSW.Win32.OnLineGames.bos 文件: wl.exe
+ V; f' l" J! r2 G
木马程序 Trojan-PSW.Win32.Delf.zn 文件: zx.exe
4 F/ s6 }' E# S4 v+ [; L& p }9 s 木马程序 Trojan-PSW.Win32.OnLineGames.cda 文件: zz.exe
3 ^) H( C# U4 w, k8 y
木马程序 Trojan-PSW.Win32.OnLineGames.bow 文件: gg.exe
$ q" v/ T& a. J" i; N, S 木马程序 Trojan-PSW.Win32.OnLineGames.bmj 文件: gm.exe
E! b! @% l' u9 t w
木马程序 Trojan-PSW.Win32.OnLineGames.bou 文件: hx.exe
. M N: L4 b3 H0 \/ `& Q* B, X
木马程序 Trojan-PSW.Win32.Delf.zm 文件: mh.exe
+ [4 p; s1 J( n) ^& o 病毒 Worm.Win32.QQPass.r 文件:qq.exe
* y6 \8 F5 _$ y 木马程序 Trojan-Spy.Win32.Delf.agp 文件: rx.exe
9 x2 o2 N4 q) C# n: {0 |
木马程序 Trojan-Dropper.Win32.Killav.f 文件: sj.exe
) a: u' V- j: V) h) E6 I( j' y% z3 e9 I" L
以上程序运行后将监视用户系统,窃取用户的QQ账号/网游账号等。其中一部分木马做了免杀处理以逃避杀毒软件的查杀。此次挂马事件与IT168.COM网站被挂马事件极为相似,网页木马非常隐蔽,木马名称同样为vip.exe,被疑为同一作者所为。该木马操作手段十分狡猾,并不在运行后立刻下载木马,而是运行后等一段时间后下载木马,以此隐蔽自己的真实来源。