页面
http://drivers.mydrivers.com/search中包含一个七彩红的广告脚本,脚本的链接为:
1 W8 V8 K% W- ?( Phttp://11.mydrivers.com/drivers/dd23.js,脚本中内嵌了
http://qa.qicaihong.com/colorful/97.htm页面,97.htm内又
& ]; K, Z" b4 s( z I
以脚本的方式内嵌了
http://qa.colorful.cn/Show/Scrip ... 2-95c1-3ee7c8ac17a8页面,查看
5 U6 x1 l5 _ P该页面可以看到内置了
http://md55.net/soft7/lk.htm页面,而lk.htm即为网页木马,当用户浏览到包含此页面的网页的时
3 |) T- d& h1 k候就会激活木马链接,自动下载病毒并运行。
# o8 r" {" F' ^9 P5 B u
( l" x# F6 r9 ^4 q1 u* ]
被挂马的页面源码截图:
L( H; B& {6 G d+ R7 h, v; C$ I$ Y; U8 f4 ` d! f: q3 S2 m
3 R; k- X0 M' B: Y7 p/ Wlk.htm代码截图:
8 Z+ r: { B5 x- \" A: P
$ N. Y2 o( J" ?
+ W4 n* u9 g4 r( m1 k1 }# F! L
下载的木马地址为:
http://md55.net/soft7/vip.exe,此木马会下载大量的病毒木马并运行。下载的大部分
, J- o% B! ^4 J& G2 c为Trojan-PSW.Win32.OnLineGames家族的木马。如:
; N0 P6 A, R9 i0 b
木马程序 Trojan-PSW.Win32.Delf.aat 文件: tl.exe
3 ?- _ ^2 t: {2 {/ x8 F" R 木马程序 Trojan-PSW.Win32.OnLineGames.ccv 文件: wd.exe
, H& F3 f% Y- Z3 }, g 木马程序 Trojan-PSW.Win32.OnLineGames.bos 文件: wl.exe
7 T' B% K, a# A& N& Q! V7 q 木马程序 Trojan-PSW.Win32.Delf.zn 文件: zx.exe
* W" N% E! p% c4 S2 k: c( I" H
木马程序 Trojan-PSW.Win32.OnLineGames.cda 文件: zz.exe
e! ?. s' j0 k* C! b+ K4 V- H( ] 木马程序 Trojan-PSW.Win32.OnLineGames.bow 文件: gg.exe
0 u9 r' [- k G1 J) F% k 木马程序 Trojan-PSW.Win32.OnLineGames.bmj 文件: gm.exe
9 b& ` o7 B- z4 G& ?' I) b 木马程序 Trojan-PSW.Win32.OnLineGames.bou 文件: hx.exe
' y$ N$ I% H8 V" O5 X 木马程序 Trojan-PSW.Win32.Delf.zm 文件: mh.exe
9 ]3 A8 z2 ~$ }+ U" ?6 @
病毒 Worm.Win32.QQPass.r 文件:qq.exe
! O3 M* c9 y& a8 Y 木马程序 Trojan-Spy.Win32.Delf.agp 文件: rx.exe
0 q3 I; H- m- f$ S0 ^5 i 木马程序 Trojan-Dropper.Win32.Killav.f 文件: sj.exe
& |# r$ D4 m" M' f. Q6 G. p+ t6 I- p; a% z! x) w
以上程序运行后将监视用户系统,窃取用户的QQ账号/网游账号等。其中一部分木马做了免杀处理以逃避杀毒软件的查杀。此次挂马事件与IT168.COM网站被挂马事件极为相似,网页木马非常隐蔽,木马名称同样为vip.exe,被疑为同一作者所为。该木马操作手段十分狡猾,并不在运行后立刻下载木马,而是运行后等一段时间后下载木马,以此隐蔽自己的真实来源。
IP卡
狗仔卡
发表于 2007-9-8 13:44:32
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡