诚毅小家|集美大学生活【集美大学,诚毅学院,水产学院,师范学院,美术学院,财经学院,体育学院,航海学院,集美学村,石鼓路,龙舟池】

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
热搜: 活动 交友 discuz
查看: 549|回复: 1

警惕:驱动之家部分页面被黑客植入盗号木马

[复制链接]
发表于 2007-9-8 13:44:32 | 显示全部楼层 |阅读模式
     DSW Lab Avert小组监测到国内知名网站驱动之家被黑客置入木马,挂马方式采用JS脚本的方式,当用户浏览到相关页面时就会触发。被挂马页面为:http://drivers.mydrivers.com/search  q% H% d6 c0 Q
   鉴于近期多起国内知名网站被挂马事件,超级巡警团队提醒广大互联网用户注意计算机安全,及时检测系统漏洞,下载最新补丁。
一、事件分析:
   
    页面http://drivers.mydrivers.com/search中包含一个七彩红的广告脚本,脚本的链接为:# ~1 z" [- G8 @( G' l! f
http://11.mydrivers.com/drivers/dd23.js,脚本中内嵌了http://qa.qicaihong.com/colorful/97.htm页面,97.htm内又! ^. a) i7 D0 p  w, F8 Y
以脚本的方式内嵌了http://qa.colorful.cn/Show/Scrip ... 2-95c1-3ee7c8ac17a8页面,查看
9 K! f  L, O" l9 l该页面可以看到内置了http://md55.net/soft7/lk.htm页面,而lk.htm即为网页木马,当用户浏览到包含此页面的网页的时
4 K8 |3 J) y' i2 V1 V. D候就会激活木马链接,自动下载病毒并运行。 " p; {7 `; v7 H4 P6 z5 Q3 |

: a  `8 J  f, K1 A6 @' }被挂马的页面源码截图:
; M4 p4 y5 H1 u$ R7 b5 \5 r% ]" w" B  g1 l  o1 h
$ f- p- l- ^0 j5 D
lk.htm代码截图:
! _' T. Q: v( I1 V& L
' Q( W1 w* E6 B  p
* s2 W2 c8 _# }# V   下载的木马地址为:http://md55.net/soft7/vip.exe,此木马会下载大量的病毒木马并运行。下载的大部分
* G1 ?# e) o- h0 }4 U/ {- h2 ~为Trojan-PSW.Win32.OnLineGames家族的木马。如:
  F4 S7 \: H3 g/ ]& g. N9 a5 T      木马程序 Trojan-PSW.Win32.Delf.aat            文件: tl.exe4 {! V! r8 ?" Q; g7 n7 z. V  l
      木马程序 Trojan-PSW.Win32.OnLineGames.ccv       文件: wd.exe
# w; ]; G  Q4 _) r$ E      木马程序 Trojan-PSW.Win32.OnLineGames.bos       文件: wl.exe
5 n9 Y, W5 \( J6 u      木马程序 Trojan-PSW.Win32.Delf.zn             文件: zx.exe- r, A4 \- Q6 a; h. F3 [+ u1 k  ?; M( K
      木马程序 Trojan-PSW.Win32.OnLineGames.cda       文件: zz.exe6 Q3 J4 V# [6 [" W+ u
      木马程序 Trojan-PSW.Win32.OnLineGames.bow       文件: gg.exe) D8 G6 U0 E5 X3 L, |% @
      木马程序 Trojan-PSW.Win32.OnLineGames.bmj       文件: gm.exe' @+ M9 f8 E! A# l
      木马程序 Trojan-PSW.Win32.OnLineGames.bou       文件: hx.exe
+ V0 ]! Y9 K( I) H; s  D      木马程序 Trojan-PSW.Win32.Delf.zm             文件: mh.exe8 U! [) h; M4 D3 t& q
      病毒 Worm.Win32.QQPass.r                    文件:qq.exe. Q- C' F9 j4 Z  z1 E1 E: U
      木马程序 Trojan-Spy.Win32.Delf.agp            文件: rx.exe
% z0 [! x5 F7 P/ u      木马程序 Trojan-Dropper.Win32.Killav.f         文件: sj.exe" e3 Z$ w5 R' q, e/ t$ b8 g

( a5 u7 E9 m) W1 t! H* @" @   以上程序运行后将监视用户系统,窃取用户的QQ账号/网游账号等。其中一部分木马做了免杀处理以逃避杀毒软件的查杀。此次挂马事件与IT168.COM网站被挂马事件极为相似,网页木马非常隐蔽,木马名称同样为vip.exe,被疑为同一作者所为。该木马操作手段十分狡猾,并不在运行后立刻下载木马,而是运行后等一段时间后下载木马,以此隐蔽自己的真实来源。
       9月8日最新消息:驱动之家网站已经清除木马,用户可放心浏览该网站。; e2 C( t; e6 P( B1 y
关于驱动之家:国内知名的IT网站,以硬件资讯及驱动下载为主要特色。
" ]% _8 S. L+ t0 k5 S3 K& d# r( r7 C5 H
发表于 2007-9-10 15:18:14 | 显示全部楼层
发的都什么东西,图片都不会显示,消息都很老么?
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|诚毅小家 ( 小家社区工作室 闽ICP备05007965号 )

GMT+8, 2024-11-22 20:44 , Processed in 0.048796 second(s), 23 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表