页面
http://drivers.mydrivers.com/search中包含一个七彩红的广告脚本,脚本的链接为:
# ~1 z" [- G8 @( G' l! f
http://11.mydrivers.com/drivers/dd23.js,脚本中内嵌了
http://qa.qicaihong.com/colorful/97.htm页面,97.htm内又
! ^. a) i7 D0 p w, F8 Y
以脚本的方式内嵌了
http://qa.colorful.cn/Show/Scrip ... 2-95c1-3ee7c8ac17a8页面,查看
9 K! f L, O" l9 l该页面可以看到内置了
http://md55.net/soft7/lk.htm页面,而lk.htm即为网页木马,当用户浏览到包含此页面的网页的时
4 K8 |3 J) y' i2 V1 V. D候就会激活木马链接,自动下载病毒并运行。
" p; {7 `; v7 H4 P6 z5 Q3 |
: a `8 J f, K1 A6 @' }被挂马的页面源码截图:
; M4 p4 y5 H1 u$ R7 b5 \5 r% ]" w" B g1 l o1 h
$ f- p- l- ^0 j5 D
lk.htm代码截图:
! _' T. Q: v( I1 V& L
' Q( W1 w* E6 B p
* s2 W2 c8 _# }# V 下载的木马地址为:
http://md55.net/soft7/vip.exe,此木马会下载大量的病毒木马并运行。下载的大部分
* G1 ?# e) o- h0 }4 U/ {- h2 ~为Trojan-PSW.Win32.OnLineGames家族的木马。如:
F4 S7 \: H3 g/ ]& g. N9 a5 T 木马程序 Trojan-PSW.Win32.Delf.aat 文件: tl.exe
4 {! V! r8 ?" Q; g7 n7 z. V l
木马程序 Trojan-PSW.Win32.OnLineGames.ccv 文件: wd.exe
# w; ]; G Q4 _) r$ E 木马程序 Trojan-PSW.Win32.OnLineGames.bos 文件: wl.exe
5 n9 Y, W5 \( J6 u 木马程序 Trojan-PSW.Win32.Delf.zn 文件: zx.exe
- r, A4 \- Q6 a; h. F3 [+ u1 k ?; M( K
木马程序 Trojan-PSW.Win32.OnLineGames.cda 文件: zz.exe
6 Q3 J4 V# [6 [" W+ u
木马程序 Trojan-PSW.Win32.OnLineGames.bow 文件: gg.exe
) D8 G6 U0 E5 X3 L, |% @
木马程序 Trojan-PSW.Win32.OnLineGames.bmj 文件: gm.exe
' @+ M9 f8 E! A# l
木马程序 Trojan-PSW.Win32.OnLineGames.bou 文件: hx.exe
+ V0 ]! Y9 K( I) H; s D 木马程序 Trojan-PSW.Win32.Delf.zm 文件: mh.exe
8 U! [) h; M4 D3 t& q
病毒 Worm.Win32.QQPass.r 文件:qq.exe
. Q- C' F9 j4 Z z1 E1 E: U
木马程序 Trojan-Spy.Win32.Delf.agp 文件: rx.exe
% z0 [! x5 F7 P/ u 木马程序 Trojan-Dropper.Win32.Killav.f 文件: sj.exe
" e3 Z$ w5 R' q, e/ t$ b8 g
( a5 u7 E9 m) W1 t! H* @" @ 以上程序运行后将监视用户系统,窃取用户的QQ账号/网游账号等。其中一部分木马做了免杀处理以逃避杀毒软件的查杀。此次挂马事件与IT168.COM网站被挂马事件极为相似,网页木马非常隐蔽,木马名称同样为vip.exe,被疑为同一作者所为。该木马操作手段十分狡猾,并不在运行后立刻下载木马,而是运行后等一段时间后下载木马,以此隐蔽自己的真实来源。