页面
http://drivers.mydrivers.com/search中包含一个七彩红的广告脚本,脚本的链接为:
5 m; \* A# G! n; B
http://11.mydrivers.com/drivers/dd23.js,脚本中内嵌了
http://qa.qicaihong.com/colorful/97.htm页面,97.htm内又
7 m/ C9 S8 k0 M2 s3 \2 X+ l
以脚本的方式内嵌了
http://qa.colorful.cn/Show/Scrip ... 2-95c1-3ee7c8ac17a8页面,查看
$ D9 K& z* G$ _% ^
该页面可以看到内置了
http://md55.net/soft7/lk.htm页面,而lk.htm即为网页木马,当用户浏览到包含此页面的网页的时
" w* u0 M; P. z5 A5 H; O候就会激活木马链接,自动下载病毒并运行。
! D, |& M$ ~6 ^
; @! m/ b9 c9 z被挂马的页面源码截图:
3 b2 Y% m, Y+ }. J7 g# H6 a3 [
! n U, f+ n- Y" h, v
3 K' {2 O% e. Q, Klk.htm代码截图:
; x. C# w' e$ E$ T4 r9 }
: ^2 b* L; z# n' [1 J
; q) y; k, q; r$ X 下载的木马地址为:
http://md55.net/soft7/vip.exe,此木马会下载大量的病毒木马并运行。下载的大部分
# t0 y" N r) L5 b" B- \为Trojan-PSW.Win32.OnLineGames家族的木马。如:
, W% r& ]. q% Y. Z$ S! P 木马程序 Trojan-PSW.Win32.Delf.aat 文件: tl.exe
* k* ~ v" U! U6 L# M# n2 `
木马程序 Trojan-PSW.Win32.OnLineGames.ccv 文件: wd.exe
3 y5 q/ u, Z5 G* d- f- ^
木马程序 Trojan-PSW.Win32.OnLineGames.bos 文件: wl.exe
3 l1 G+ Q! W0 P, k0 U' I2 O 木马程序 Trojan-PSW.Win32.Delf.zn 文件: zx.exe
# f0 k0 \2 c& s. h9 s: C' V/ k
木马程序 Trojan-PSW.Win32.OnLineGames.cda 文件: zz.exe
0 l2 N$ _; J- G/ q
木马程序 Trojan-PSW.Win32.OnLineGames.bow 文件: gg.exe
! _# S6 m q9 d* m: F5 n
木马程序 Trojan-PSW.Win32.OnLineGames.bmj 文件: gm.exe
5 F( u$ r. L1 u, ?( }0 I1 j. J2 U! r
木马程序 Trojan-PSW.Win32.OnLineGames.bou 文件: hx.exe
, @! O1 D1 X( ]9 A; g
木马程序 Trojan-PSW.Win32.Delf.zm 文件: mh.exe
: g9 B/ p" ^( H' \& X4 g2 V 病毒 Worm.Win32.QQPass.r 文件:qq.exe
! K8 B0 ]; w( [' b0 r
木马程序 Trojan-Spy.Win32.Delf.agp 文件: rx.exe
9 k# ~0 S! P9 m* p. M# L c( z
木马程序 Trojan-Dropper.Win32.Killav.f 文件: sj.exe
4 T' F" \( J7 H" f
/ p) s, h6 S/ o+ a% i! ~
以上程序运行后将监视用户系统,窃取用户的QQ账号/网游账号等。其中一部分木马做了免杀处理以逃避杀毒软件的查杀。此次挂马事件与IT168.COM网站被挂马事件极为相似,网页木马非常隐蔽,木马名称同样为vip.exe,被疑为同一作者所为。该木马操作手段十分狡猾,并不在运行后立刻下载木马,而是运行后等一段时间后下载木马,以此隐蔽自己的真实来源。
IP卡
狗仔卡
发表于 2007-9-8 13:44:32
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡