诚毅小家|集美大学生活【集美大学,诚毅学院,水产学院,师范学院,美术学院,财经学院,体育学院,航海学院,集美学村,石鼓路,龙舟池】

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
热搜: 活动 交友 discuz
查看: 546|回复: 1

警惕:驱动之家部分页面被黑客植入盗号木马

[复制链接]
发表于 2007-9-8 13:44:32 | 显示全部楼层 |阅读模式
     DSW Lab Avert小组监测到国内知名网站驱动之家被黑客置入木马,挂马方式采用JS脚本的方式,当用户浏览到相关页面时就会触发。被挂马页面为:http://drivers.mydrivers.com/search4 l, f4 k( i7 l6 H  m  K
   鉴于近期多起国内知名网站被挂马事件,超级巡警团队提醒广大互联网用户注意计算机安全,及时检测系统漏洞,下载最新补丁。
一、事件分析:
   
    页面http://drivers.mydrivers.com/search中包含一个七彩红的广告脚本,脚本的链接为:7 `5 f5 L9 g% m
http://11.mydrivers.com/drivers/dd23.js,脚本中内嵌了http://qa.qicaihong.com/colorful/97.htm页面,97.htm内又. U9 C" ^# }& L6 o( W* S, b; B
以脚本的方式内嵌了http://qa.colorful.cn/Show/Scrip ... 2-95c1-3ee7c8ac17a8页面,查看
+ ~: ~) A' K6 a% k8 a4 a, i8 r该页面可以看到内置了http://md55.net/soft7/lk.htm页面,而lk.htm即为网页木马,当用户浏览到包含此页面的网页的时! ^+ b+ E+ J3 M' a% T# m" W% m* _
候就会激活木马链接,自动下载病毒并运行。 2 [1 F# o' W/ C8 r2 g

, R  Z9 W' O% |& X被挂马的页面源码截图:
% N$ j5 L; Q% P7 c+ ?
9 o; Y& e& B' K( `
. k- h9 }6 X) g0 k: Blk.htm代码截图:& f+ l8 W& ~- z  \1 h- W

2 x2 I. C+ u2 M9 b4 V
/ B- q9 A/ `! S. L9 P3 \   下载的木马地址为:http://md55.net/soft7/vip.exe,此木马会下载大量的病毒木马并运行。下载的大部分. p1 {% R; @) |1 u; C. [
为Trojan-PSW.Win32.OnLineGames家族的木马。如:
7 w& N, O3 c0 Y8 @      木马程序 Trojan-PSW.Win32.Delf.aat            文件: tl.exe
2 i5 _# I: z; s! _  n6 D, m+ e      木马程序 Trojan-PSW.Win32.OnLineGames.ccv       文件: wd.exe
2 s) z1 M2 h2 h2 E) V) P' I/ G      木马程序 Trojan-PSW.Win32.OnLineGames.bos       文件: wl.exe
! d5 t) U% }% e7 ?& ~& {      木马程序 Trojan-PSW.Win32.Delf.zn             文件: zx.exe
! E8 g1 {, e6 ~2 X3 u( N' [      木马程序 Trojan-PSW.Win32.OnLineGames.cda       文件: zz.exe
7 E# u/ L6 q6 E4 F. g6 \      木马程序 Trojan-PSW.Win32.OnLineGames.bow       文件: gg.exe
& S6 q4 T; F4 S! C4 O      木马程序 Trojan-PSW.Win32.OnLineGames.bmj       文件: gm.exe( S8 g2 X, T+ X& Z( K. Y/ s2 ^
      木马程序 Trojan-PSW.Win32.OnLineGames.bou       文件: hx.exe  m  l6 X4 T: t" i$ Z$ W
      木马程序 Trojan-PSW.Win32.Delf.zm             文件: mh.exe
) h; W; Q% w  [3 C6 P      病毒 Worm.Win32.QQPass.r                    文件:qq.exe
# [- k2 `% N1 F5 w$ g+ C      木马程序 Trojan-Spy.Win32.Delf.agp            文件: rx.exe
- V! m: N. v0 G1 I- Z! v      木马程序 Trojan-Dropper.Win32.Killav.f         文件: sj.exe
, \, @( {9 E: `5 x% Q
) o/ C, ~0 g8 ~1 W0 q' E. q   以上程序运行后将监视用户系统,窃取用户的QQ账号/网游账号等。其中一部分木马做了免杀处理以逃避杀毒软件的查杀。此次挂马事件与IT168.COM网站被挂马事件极为相似,网页木马非常隐蔽,木马名称同样为vip.exe,被疑为同一作者所为。该木马操作手段十分狡猾,并不在运行后立刻下载木马,而是运行后等一段时间后下载木马,以此隐蔽自己的真实来源。
       9月8日最新消息:驱动之家网站已经清除木马,用户可放心浏览该网站。! _, Z2 A( X% ^) @0 ?9 I* h9 R
关于驱动之家:国内知名的IT网站,以硬件资讯及驱动下载为主要特色。! S& D' |2 f/ W. k8 v
发表于 2007-9-10 15:18:14 | 显示全部楼层
发的都什么东西,图片都不会显示,消息都很老么?
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|诚毅小家 ( 小家社区工作室 闽ICP备05007965号 )

GMT+8, 2024-11-1 11:35 , Processed in 0.046347 second(s), 23 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表