知道创宇

知道安全团队(KnownSec Team)于今日监测到一个以免费赠送建国60周年明信片为名的钓鱼网站。用户一旦按照该网站所提供的方式发送短信就会被扣除2元信息费。

钓鱼网站链接：
http://liushizhounian.qqxuexiao.com/
http://china60.wauee.com/index.html

该网站在百度搜索“国庆 明信片”的位置比较靠前：

 
钓鱼网站界面：

 
查看源文件，可以看到以下代码：
var blackworkds = [’贱’,'骚’,'猪’,'操’,'逼’,'淫’,'煞笔’,'畜牲’,'你妹’,'你妈’,'你爷’,'你爸’, ‘老爷’,'变态’,'狗日’,'狂草’,'草你’, ‘王八’, ‘去死’,'垃圾’,'杂种’];
function isBlackword(ast){
 var i = 0;
 for(i=0; i<blackworkds.length;i++){
  bw = blackworkds[i];
  if(ast.indexOf(bw)>-1){
   return false;
  }
 }
 return true;
}

钓鱼网站的作者添加了一个黑名单，一旦用户提交的姓名里包含这些字就返回错误信息。
    if(!isCHName(name)||!isBlackword(name)){
        alert(’为确保您的明信片能正确寄出，请输入您的真实姓名！’);
        return false;
    }
   
通过正则表达式判断手机号码：
function isphone(phone){
 var pr = /^1[3|5|8]([0-9]{1})([0-9]{8})$/;
 return pr.test(phone)
}
    if(!isphone(phone)){
     alert(’为确保您的明信片能正确寄出,请填写您的真实手机号码!’);
     return false;
    }

通过对以上代码的分析，我们可以构造一些虚假信息来测试，只要不包含黑名单里的字，且手机号符合格式（13、15、18开头的11位数字），就可以正常提交。

点击“我已发送”，弹出对话框：

通过源码分析可知：
function showmsg() {
 alert(”您确定已经发送短信了吗？\n编辑短信 “+msg+” 发送到 “+ln+” 即可寄出您的有奖明信片!”);
}

<button onclick=”javascript:showmsg(’${msg}’,'${ln}’);” name=”Submit”>我已发送</button>
所以，无论是否发送手机短信，点击“我已发送”都会弹出这个对话框。而且，如果真的发送短信的话，手机会被扣除2元的信息费。

另外，这个钓鱼网站的作者犯了一个很低级的错误，他仅仅要求输入手机号和姓名，但是邮寄明信片需要的是邮编、地址和收件人姓名，仅此一点足以说明这个明信片是无法寄出的。

建国60周年纪念明信片和天安门邮局的纪念邮戳大家都想要，但是切勿相信类似的骗局，否则，不仅仅泄露个人信息，还可能导致财产损失。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com
联系电话:13552251891。

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 9% [?]

知道安全团队(KnownSec Team)于今日监测到一个模仿QQ安全中心的钓鱼网站，该钓鱼网站的仿真度极高。QQ用户一旦使用此网站提供的“修改密码”功能更改密码，可能导致账户被窃取。

钓鱼网站链接：http://www.qq-anquan.com/

钓鱼网站界面：

当用户进入http://www.qq-anquan.com/ydbhht/Index.htm时，将会出现一个登录窗口，要求用户输入账户、密码以及验证码（验证码是从腾讯网站上调用来的）。

在登录窗口上点击右键，选择“属性”，来看下该窗口的URL：
http://www.qq-anquan.com/ydbhht/QQ安全中心.files/login.htm

显然该窗口并非腾讯官方的。

将该链接复制到地址栏，继续分析。

点击右键，查看源文件：

从第59行到61行，可以看到一个表单的标签：
<FORM id=loginform style=”MARGIN: 0px” name=loginform
onreset=”return onFormReset(loginform)” onSubmit=”return ptui_onLoginEx(loginform, ‘qq.com’)”
action=../one/index_1.asp  target=”_parent”>
表单标签的“action=”之后的链接即登录框内信息所要提交的页面。

从这里我们可以看出，信息不是提交到腾讯官方的登录页面的。

通过以上信息，我们可以复原该钓鱼网站的登录信息记录页面为：
http://www.qq-anquan.com/ydbhht/one/index_1.asp

复原链接的方法是这样的：
../是指当前目录的上一级目录，在这里就是指http://www.qq-anquan.com/ydbhht/
然后将one/index_1.asp直接添加到上面就得到了完整的URL。

直接将连接复制到地址栏里，打开新页面，该页面内部调用了http://www.qq-anquan.com/ydbhht/one/QQ安全中心.files/set_question.asp
将鼠标在文本框附近点右键查看“属性”可以看到。当然直接查看当前页面的源文件也可以发现一个框架：
<IFRAME src=”QQ安全中心.files/set_question.asp?u=&p=” mce_src=”QQ安全中心.files/set_question.asp?u=&p=” frameBorder=0
width=800 scrolling=no height=350></IFRAME>

进入http://www.qq-anquan.com/ydbhht/one/QQ安全中心.files/set_question.asp查看源文件，可以发现：
<FORM name=myform onSubmit=”return checkForm();”
action=../../humeiyan/set.asp method=post autocomplete=”off”>
复原链接：http://www.qq-anquan.com/ydbhht/humeiyan/set.asp
直接进入该链接，可以发现，该页面提示：

但实际我们是没有输入密码的。O(∩_∩)O哈哈~

今后大家遇到类似的网站，无法判断真假的时候也可以通过以上步骤进行简单的判断。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com
联系电话:13552251891。

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 14% [?]

发布时间：Tue Mar 24 2009 19:46:05 UTC+0800
最后更新时间：Tue Mar 24 2009 19:46:05 UTC+0800
________________________________________
歪歪（YY）简介：
歪歪是多玩旗下的一款免费的语音软件，因用其语音聊天时语音流畅，音质清晰，在国内使用比较广泛。

近日有网友反映，百度推广链接存在病毒。经知道安全团队（KnownSec Team）确认，使用百度搜索“YY”，显示的第一个链接（http://www.yy-douwan.com/）为钓鱼网站，上面的歪歪程序被捆绑了病毒文件。
歪歪官方网站地址为：http://yy.duowan.com
百度搜索“YY”结果如下：

其中，第一个为钓鱼网站（百度推广链接），第二个为YY官方网站。

假冒的YY网站：

YY官方网站：

从上图可以看出，钓鱼网站的界面与YY官方网站的界面极其相似。

在下载图标上点击“右键->属性”可以看到钓鱼网站所下载的两个文件为：

http://isparck.cn/yy.exe    （文件大小：3,921,672 字节）
http://ut-game-sina.com.cn/yy.exe     （文件大小：3,939,971 字节）

而YY官方网站所下载的文件为：

http://yydl.duowan.com/setup/yy.exe     （文件大小：3,583,428 字节）

http://yydl.duowan.com/setup/yy-360.exe     （文件大小3,637,698 字节）

 简要病毒分析：

病毒运行后将创建以下文件：

 %userprofile%\Local Settings\Temp\msdfjsadfjd.dat
  Size: 26,872 bytes
%userprofile%\Administrator\Local Settings\Temp\mswsasystem.gif
  Size: 22,776 bytes
 %windir%\system32\msxmlfilta.dll
  Size: 167,936 bytes

其中msdfjsadfjd.dat和msxmlfilta.dll将插入所有进程。

Popularity: 15% [?]

Phishing Attack :

发布日期：2008-3-16（GMT）

最后更新日期：2008-3-16   4:41（GMT）

攻击来自：超级旋风的旋窝搜索（http://x.soso.com）

描述：

在使用超级旋风下载软件的时候，界面的右边会出现一些推荐的电影下载连接，打开以后可以看到是超级旋风的旋窝影视搜索，提供了电影下载的资源地址，其中包含了不少钓鱼攻击，通过假资源或者在资源里包含了病毒，诱骗下载者在打开资源的时候运行病毒。

例子：

http://x.soso.com/cgi-bin/movie/show_detail_mv?Id=8041

这是在超级旋风推荐里的一个电影，可以在返回的结果里看到提供的资源很多是RAR压缩包，然后在其中包含RAR格式的自解压缩包，它的自动解压并运行程序的功能被钓鱼者所利用。

在经过检查之后发现仅是这个电影的资源里，RAR包里包含病毒的超过一半。

钓鱼者在压缩包的同一目录下放了一个说明文件来诱骗用户执行自解压缩包：

种子解压说明:双击EXE自解压文件，得到种子

因为空间不允许上传.torrent种子格式文件，

所以就做成RAR发布了，空间商不想被当下载服务器吧，

RAR格式就可以正常下载

通过在自解压缩包里存放torrent种子文件和一个文件属性为系统（S）+隐藏（H）的病毒程序，在用户执行该压缩包的同时，释放这两个文件，并执行病毒程序：

关于该病毒（Trojan-Downloader.Win32.Todon.aq）的一些简单描述：

病毒通过Image File Execution Options，拦截带有特征字符的程序等方式反制杀毒软件，进行了修改分区的权限设置，修改注册表破坏安全模式的加载，破坏隐藏文件的显示等行为来降低系统的安全性，还通过释放autorun.inf和病毒在分区目录，连接网络下载其他病毒等行为来继续恶意侵入用户的电脑。

推荐的应对方法：

安装杀毒软件对下载的文件进行安全检查扫描。

不要随意执行EXE，COM等可执行后缀的程序。

学习和加深对系统，网络安全的了解。

关于这个病毒的粗略反汇编分析：http://www.scanw.com/blog/archives/81

Popularity: 14% [?]