页面
http://drivers.mydrivers.com/search中包含一个七彩红的广告脚本,脚本的链接为:
7 `5 f5 L9 g% m
http://11.mydrivers.com/drivers/dd23.js,脚本中内嵌了
http://qa.qicaihong.com/colorful/97.htm页面,97.htm内又
. U9 C" ^# }& L6 o( W* S, b; B
以脚本的方式内嵌了
http://qa.colorful.cn/Show/Scrip ... 2-95c1-3ee7c8ac17a8页面,查看
+ ~: ~) A' K6 a% k8 a4 a, i8 r该页面可以看到内置了
http://md55.net/soft7/lk.htm页面,而lk.htm即为网页木马,当用户浏览到包含此页面的网页的时
! ^+ b+ E+ J3 M' a% T# m" W% m* _
候就会激活木马链接,自动下载病毒并运行。
2 [1 F# o' W/ C8 r2 g
, R Z9 W' O% |& X被挂马的页面源码截图:
% N$ j5 L; Q% P7 c+ ?
9 o; Y& e& B' K( `
. k- h9 }6 X) g0 k: Blk.htm代码截图:
& f+ l8 W& ~- z \1 h- W
2 x2 I. C+ u2 M9 b4 V
/ B- q9 A/ `! S. L9 P3 \ 下载的木马地址为:
http://md55.net/soft7/vip.exe,此木马会下载大量的病毒木马并运行。下载的大部分
. p1 {% R; @) |1 u; C. [
为Trojan-PSW.Win32.OnLineGames家族的木马。如:
7 w& N, O3 c0 Y8 @ 木马程序 Trojan-PSW.Win32.Delf.aat 文件: tl.exe
2 i5 _# I: z; s! _ n6 D, m+ e 木马程序 Trojan-PSW.Win32.OnLineGames.ccv 文件: wd.exe
2 s) z1 M2 h2 h2 E) V) P' I/ G 木马程序 Trojan-PSW.Win32.OnLineGames.bos 文件: wl.exe
! d5 t) U% }% e7 ?& ~& { 木马程序 Trojan-PSW.Win32.Delf.zn 文件: zx.exe
! E8 g1 {, e6 ~2 X3 u( N' [ 木马程序 Trojan-PSW.Win32.OnLineGames.cda 文件: zz.exe
7 E# u/ L6 q6 E4 F. g6 \ 木马程序 Trojan-PSW.Win32.OnLineGames.bow 文件: gg.exe
& S6 q4 T; F4 S! C4 O 木马程序 Trojan-PSW.Win32.OnLineGames.bmj 文件: gm.exe
( S8 g2 X, T+ X& Z( K. Y/ s2 ^
木马程序 Trojan-PSW.Win32.OnLineGames.bou 文件: hx.exe
m l6 X4 T: t" i$ Z$ W
木马程序 Trojan-PSW.Win32.Delf.zm 文件: mh.exe
) h; W; Q% w [3 C6 P 病毒 Worm.Win32.QQPass.r 文件:qq.exe
# [- k2 `% N1 F5 w$ g+ C 木马程序 Trojan-Spy.Win32.Delf.agp 文件: rx.exe
- V! m: N. v0 G1 I- Z! v 木马程序 Trojan-Dropper.Win32.Killav.f 文件: sj.exe
, \, @( {9 E: `5 x% Q
) o/ C, ~0 g8 ~1 W0 q' E. q 以上程序运行后将监视用户系统,窃取用户的QQ账号/网游账号等。其中一部分木马做了免杀处理以逃避杀毒软件的查杀。此次挂马事件与IT168.COM网站被挂马事件极为相似,网页木马非常隐蔽,木马名称同样为vip.exe,被疑为同一作者所为。该木马操作手段十分狡猾,并不在运行后立刻下载木马,而是运行后等一段时间后下载木马,以此隐蔽自己的真实来源。