诚毅小家|集美大学生活【集美大学,诚毅学院,水产学院,师范学院,美术学院,财经学院,体育学院,航海学院,集美学村,石鼓路,龙舟池】

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
热搜: 活动 交友 discuz
查看: 550|回复: 1

警惕:驱动之家部分页面被黑客植入盗号木马

[复制链接]
发表于 2007-9-8 13:44:32 | 显示全部楼层 |阅读模式
     DSW Lab Avert小组监测到国内知名网站驱动之家被黑客置入木马,挂马方式采用JS脚本的方式,当用户浏览到相关页面时就会触发。被挂马页面为:http://drivers.mydrivers.com/search
( }. B0 B8 [4 z5 X  Z" }9 L   鉴于近期多起国内知名网站被挂马事件,超级巡警团队提醒广大互联网用户注意计算机安全,及时检测系统漏洞,下载最新补丁。
一、事件分析:
   
    页面http://drivers.mydrivers.com/search中包含一个七彩红的广告脚本,脚本的链接为:" E, j) C: M7 }
http://11.mydrivers.com/drivers/dd23.js,脚本中内嵌了http://qa.qicaihong.com/colorful/97.htm页面,97.htm内又, a9 w2 _& U! ~. X
以脚本的方式内嵌了http://qa.colorful.cn/Show/Scrip ... 2-95c1-3ee7c8ac17a8页面,查看8 M$ p1 T; _+ W" X5 p: ~& o
该页面可以看到内置了http://md55.net/soft7/lk.htm页面,而lk.htm即为网页木马,当用户浏览到包含此页面的网页的时
# u0 _+ p# K5 T1 N& [$ T候就会激活木马链接,自动下载病毒并运行。 $ Y7 Z. E3 @* N& p( h
; x9 g0 b1 @; s
被挂马的页面源码截图:# |/ w( H2 ^2 [( S& Q6 m8 L
6 h! l! p7 o9 }/ l
& b" d  j! A, N- X
lk.htm代码截图:
* j) y9 ?0 f! K8 A7 Y / y8 j( f* @: F* t* N

0 k! a& |: w; A- e4 ^( }* W$ F7 q$ `   下载的木马地址为:http://md55.net/soft7/vip.exe,此木马会下载大量的病毒木马并运行。下载的大部分- k7 Q& W* `6 n
为Trojan-PSW.Win32.OnLineGames家族的木马。如:
' ]+ b6 M) p8 D      木马程序 Trojan-PSW.Win32.Delf.aat            文件: tl.exe. F7 Z$ c: P5 D: Q3 d' B
      木马程序 Trojan-PSW.Win32.OnLineGames.ccv       文件: wd.exe
: s- Y1 l+ N4 M8 C' O$ J5 D      木马程序 Trojan-PSW.Win32.OnLineGames.bos       文件: wl.exe' J8 x' N# q; A5 E
      木马程序 Trojan-PSW.Win32.Delf.zn             文件: zx.exe& {8 y3 P' c, S( f7 @
      木马程序 Trojan-PSW.Win32.OnLineGames.cda       文件: zz.exe* H0 b0 j- v. k' w6 r
      木马程序 Trojan-PSW.Win32.OnLineGames.bow       文件: gg.exe& j) x: {# x* z0 E/ [$ J2 f' U3 E- y
      木马程序 Trojan-PSW.Win32.OnLineGames.bmj       文件: gm.exe
. Q9 g; W/ T' T+ t2 s0 n      木马程序 Trojan-PSW.Win32.OnLineGames.bou       文件: hx.exe
/ m3 c, S3 e* A% F; o& p- C      木马程序 Trojan-PSW.Win32.Delf.zm             文件: mh.exe) m7 ?  v, K* I  I) c  W3 ^: l
      病毒 Worm.Win32.QQPass.r                    文件:qq.exe- ]8 }6 x# a/ G) o" f
      木马程序 Trojan-Spy.Win32.Delf.agp            文件: rx.exe: L" I1 K1 i& J$ G1 z8 j
      木马程序 Trojan-Dropper.Win32.Killav.f         文件: sj.exe
8 r' `# I6 _: R4 M: a: ?
6 C4 ?- o' Q1 N   以上程序运行后将监视用户系统,窃取用户的QQ账号/网游账号等。其中一部分木马做了免杀处理以逃避杀毒软件的查杀。此次挂马事件与IT168.COM网站被挂马事件极为相似,网页木马非常隐蔽,木马名称同样为vip.exe,被疑为同一作者所为。该木马操作手段十分狡猾,并不在运行后立刻下载木马,而是运行后等一段时间后下载木马,以此隐蔽自己的真实来源。
       9月8日最新消息:驱动之家网站已经清除木马,用户可放心浏览该网站。$ `1 A& i9 T: W* N( F
关于驱动之家:国内知名的IT网站,以硬件资讯及驱动下载为主要特色。5 h* A5 A# r( u/ u% d
发表于 2007-9-10 15:18:14 | 显示全部楼层
发的都什么东西,图片都不会显示,消息都很老么?
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|诚毅小家 ( 小家社区工作室 闽ICP备05007965号 )

GMT+8, 2024-11-23 19:57 , Processed in 0.047922 second(s), 24 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表