页面
http://drivers.mydrivers.com/search中包含一个七彩红的广告脚本,脚本的链接为:
$ q: m# c. P! j1 F- ]http://11.mydrivers.com/drivers/dd23.js,脚本中内嵌了
http://qa.qicaihong.com/colorful/97.htm页面,97.htm内又
* O C, m8 E3 [8 V3 {以脚本的方式内嵌了
http://qa.colorful.cn/Show/Scrip ... 2-95c1-3ee7c8ac17a8页面,查看
- o3 q9 ^! y7 x: ?7 f* l! F7 b: m该页面可以看到内置了
http://md55.net/soft7/lk.htm页面,而lk.htm即为网页木马,当用户浏览到包含此页面的网页的时
& g/ ?8 |, t7 ?5 a
候就会激活木马链接,自动下载病毒并运行。
# I. F8 J) R: v* J1 K5 N2 ]1 U' o- u4 F7 G
被挂马的页面源码截图:
* X% E: z, [: g
" A6 n& W3 Y& s: }/ V; f s1 }$ K
8 M( g* i' R3 @* L) |3 E, ~$ i( ?
lk.htm代码截图:
- y5 N: Q* Y7 o$ I. H0 u
. `- r: P8 [+ }- w
+ L$ _! J, p* e
下载的木马地址为:
http://md55.net/soft7/vip.exe,此木马会下载大量的病毒木马并运行。下载的大部分
4 s* `2 F: W5 u1 b9 ]; q+ R0 r
为Trojan-PSW.Win32.OnLineGames家族的木马。如:
' Z$ H# L+ B, N 木马程序 Trojan-PSW.Win32.Delf.aat 文件: tl.exe
, a! b' f4 P- c2 T 木马程序 Trojan-PSW.Win32.OnLineGames.ccv 文件: wd.exe
! G$ s+ ]& x4 O9 r3 s! J# t 木马程序 Trojan-PSW.Win32.OnLineGames.bos 文件: wl.exe
1 N! P% n* O# T) ~
木马程序 Trojan-PSW.Win32.Delf.zn 文件: zx.exe
# Y& B* r/ l* m) l q9 D 木马程序 Trojan-PSW.Win32.OnLineGames.cda 文件: zz.exe
0 B' n( T5 v/ D3 Y6 O% _- _4 M
木马程序 Trojan-PSW.Win32.OnLineGames.bow 文件: gg.exe
8 w& }8 ?- m- c+ Q8 E7 A
木马程序 Trojan-PSW.Win32.OnLineGames.bmj 文件: gm.exe
6 c0 F! |8 W; j4 u 木马程序 Trojan-PSW.Win32.OnLineGames.bou 文件: hx.exe
4 }" u, `* h( | I2 G
木马程序 Trojan-PSW.Win32.Delf.zm 文件: mh.exe
( J% F7 E& M6 y' V 病毒 Worm.Win32.QQPass.r 文件:qq.exe
3 b/ n" S5 x1 j% G- g7 A+ ]
木马程序 Trojan-Spy.Win32.Delf.agp 文件: rx.exe
" U" P4 \- E' _, y& G/ H 木马程序 Trojan-Dropper.Win32.Killav.f 文件: sj.exe
# z" O* F$ k, H( \* j
: Q! z& y2 c+ R, H* S/ L 以上程序运行后将监视用户系统,窃取用户的QQ账号/网游账号等。其中一部分木马做了免杀处理以逃避杀毒软件的查杀。此次挂马事件与IT168.COM网站被挂马事件极为相似,网页木马非常隐蔽,木马名称同样为vip.exe,被疑为同一作者所为。该木马操作手段十分狡猾,并不在运行后立刻下载木马,而是运行后等一段时间后下载木马,以此隐蔽自己的真实来源。
IP卡
狗仔卡
发表于 2007-9-8 13:44:32
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡