知道创宇

发 布 时 间 ：Mon Aug 30 21:46:58 2010
最后更新时间：Mon Aug 30 21:46:58 2010
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获 猫扑游戏社区（http://bbs.game.mop.com/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://bbs.game.mop.com/stat/mopnews/16264.html

挂马分析：
[root]http://bbs.game.mop.com/stat/mopnews/16264.html
…[script]http://www.wipex.com.cn/xin/yh.png
……[exp]http://www.qqqpp.com/a/yh/ie.html
………[virus]http://www.qqqpp.com/a/yh/1.exe

最终下载病毒文件：
http://www.qqqpp.com/a/yh/1.exe

通过执行以上病毒文件，来达到完全控制访问者的系统。

Google对该网站的判定：安全

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com

知道创宇：专业的WEB安全公司 www.knownsec.com

Popularity: 1% [?]

发 布 时 间 ：Tue Aug 17 11:21:16 2010
最后更新时间：Tue Aug 17 11:21:16 2010
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获 广州大学招生就业工作处（http://zj.gzhu.edu.cn/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://zj.gzhu.edu.cn/2006/main/index.html

挂马分析：
[root]http://zj.gzhu.edu.cn/2006/main/index.html
…[script]http://js.users.51.la/3739761.js
…[script]http://jiuye.nxtvu.edu.cn/db/tl.js
……[iframe]http://jiuye.nxtvu.edu.cn/db/1.htm
………[iframe]http://jiuye.nxtvu.edu.cn/db/2.html
……[exp]http://jiuye.nxtvu.edu.cn/db/2.htm(Exploit.Ie0dayCVE0806.c)
………[script]http://jiuye.nxtvu.edu.cn/db/1.jpg
………[script]http://jiuye.nxtvu.edu.cn/db/2.jpg
………[script]http://jiuye.nxtvu.edu.cn/db/3.jpg
………[script]http://jiuye.nxtvu.edu.cn/db/4.jpg
………[virus]http://www.hhhtbanjia.com/admin/cmd.exe

最终下载病毒文件：
http://www.hhhtbanjia.com/admin/cmd.exe

通过执行以上病毒文件，来达到完全控制访问者的系统。

Google对该网站的判定：恶意

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 4% [?]

发 布 时 间 ：Mon Aug 9 12:30:00 2010
最后更新时间：Mon Aug 9 12:30:00 2010
________________________________________
知道创宇安全团队(KnownSec Team)今天分析网马时在网马中发现一个指向google code空间文件的可疑链接，通过对链接的跟踪，我们发现了一个用于存放恶意程序的空间（http://dasebang.googlecode.com）。空间中的恶意程序的下载次数少则几十次，多则几千次。根据对空间中一些文件的分析，我们猜测可能还有若干假冒的在线视频网站、色情网站诱骗用户下载恶意程序。

解密后链接：

google code空间：

文件列表：

知道安全提醒各位网友，下载程序一定要去正规网站，尤其不要下载色情网站的程序，程序下载之后先使用杀毒软件杀毒，避免因安全问题影响您正常的生活和工作。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 6% [?]

发 布 时 间 ：Mon Jul 26 19:10:00 2010
最后更新时间：Mon Jul 26 19:10:00 2010
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获 扬子晚报网（http://www.yangtse.com/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://www.yangtse.com/baby/vote/css/dt100714856.htm

挂马分析：
[root]http://www.yangtse.com/baby/vote/css/dt100714856.html
…[script]http://a4.lvguihua.com:8081/user/inc/dt/css.png
……[exp]http://a6.lvguihua.com:8081/user/inc/dt/ie.html?哈韩(Exploit.Ie0dayCVE0806.a)
………[exe]http://a5.lvguihua.com:8081/user/inc/dt.exe

最终下载病毒文件：
http://a5.lvguihua.com:8081/user/inc/dt.exe

通过执行以上病毒文件，来达到完全控制访问者的系统。

Google对该网站的判定：恶意

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 9% [?]

发 布 时 间 ：Mon Jul 19 19:50:00 2010
最后更新时间：Mon Jul 19 19:50:00 2010
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获 手机玩家网（http://bbs.522shop.com/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://bbs.522shop.com/

挂马分析：
[root]http://bbs.522shop.com/( 手机玩家网   智能手机论坛|多普达论坛|HTC论坛|O2论坛,九天电讯旗下专业手机论坛 - Powered by Discuz!)
…[script]http://60.190.236.11:8000/stat.js?ad_sjwjw_670X80
……[exp]http://36007.6600.org:6677/a/ads.html(Exploit.Ie0dayCVE0806.a)
………[exe]http://232ajf.3322.org:6677/a/alg.exe
……[exp]http://36007.6600.org:6677/a/ads.html(Exploit.Ie0dayCVE0806.a)
……[exp]http://36007.6600.org:6677/a/ads.html(Exploit.Ie0dayCVE0806.a)
……[exp]http://36007.6600.org:6677/a/ads.html(Exploit.Ie0dayCVE0806.a)
……[exp]http://36007.6600.org:6677/a/ads.html(Exploit.Ie0dayCVE0806.a)
……[exp]http://36007.6600.org:6677/a/ads.html(Exploit.Ie0dayCVE0806.a)
……[exp]http://36007.6600.org:6677/a/ads.html(Exploit.Ie0dayCVE0806.a)
……[exp]http://36007.6600.org:6677/a/ads.html(Exploit.Ie0dayCVE0806.a)
……[exp]http://36007.6600.org:6677/a/ads.html(Exploit.Ie0dayCVE0806.a)
……[exp]http://36007.6600.org:6677/a/ads.html(Exploit.Ie0dayCVE0806.a)

最终下载病毒文件：
http://232ajf.3322.org:6677/a/alg.exe

通过执行以上病毒文件，来达到完全控制访问者的系统。

Google对该网站的判定：恶意

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 10% [?]

发 布 时 间 ：Mon Jul 12 17:40:00 2010
最后更新时间：Mon Jul 12 17:40:00 2010
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获 暴风影音论坛（http://bbs.stormcodec.com/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://bbs.stormcodec.com/attachment/upload/1688.png

挂马分析：
[root]http://bbs.stormcodec.com/( 暴风影音 官方论坛 - powered by phpwind.net)
…[script]http://bbs.stormcodec.com/attachment/upload/1688.png
……[iframe]http://uusee.6600.org:808/wm/03.html
………[exe]http://d1.vv04.info:70/wm/x/zr03.exe

最终下载病毒文件：
http://d1.vv04.info:70/wm/x/zr03.exe

通过执行以上病毒文件，来达到完全控制访问者的系统。

Google对该网站的判定：恶意

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 12% [?]

发 布 时 间 ：Sat Jul 10 20:40:00 2010
最后更新时间：Sat Jul 10 20:40:00 2010
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获 青海电视台（http://www.qhstv.com/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://www.qhstv.com/dl2.js

挂马分析：
[root]http://www.qhstv.com/
…[script]http://www.qhstv.com/dl2.js
……[exp]http://vf4fdsf45te.8800.org:7788/13/index.html(Exploit.Ie0dayCVE0806.a)
………[virus]http://234ufkanguayak.3322.org:7788/13/mtv.mdb

最终下载病毒文件：
http://234ufkanguayak.3322.org:7788/13/mtv.mdb

通过执行以上病毒文件，来达到完全控制访问者的系统。

Google对该网站的判定：恶意

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 12% [?]

发 布 时 间 ：Thu Jul 8 20:00:00 2010
最后更新时间：Thu Jul 8 20:00:00 2010
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获 重庆工商大学（http://xs.ctbu.edu.cn/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://xs.ctbu.edu.cn/html/youxi/?6866.html

挂马分析：
[root]http://xs.ctbu.edu.cn/html/youxi/?6866.html
…[script]http://www.risinima.com/wow.js?我日程序都一样
……[exp]http://www.risinima.com/wow.htm?没流量
………[exe]http://www.risinima.com/wow.css

最终下载病毒文件：
http://www.risinima.com/wow.css

通过执行以上病毒文件，来达到完全控制访问者的系统。

Google对该网站的判定：恶意

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 12% [?]

发 布 时 间 ：Thu Jul 1 21:50:00 2010
最后更新时间：Thu Jul 1 21:50:00 2010
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获 中国论文发布网（http://www.zglwfb.com/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://www.zglwfb.com/asd/1.html

挂马分析：
Log generated by i55m411 use mdecoder 0.60
[root]http://www.zglwfb.com/asd/1.html(Exploit.Ie0dayCVE0806.a)
…[exe]http://www.lovewowlist.com/qwer.exe

最终下载病毒文件：
http://www.lovewowlist.com/qwer.exe

通过执行以上病毒文件，来达到完全控制访问者的系统。

Google对该网站的判定：恶意

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 12% [?]

发 布 时 间 ：Wed Jun 23 21:10:00 2010
最后更新时间：Wed Jun 23 21:10:00 2010
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获 厦门大学中文系（http://chinese.xmu.edu.cn/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://chinese.xmu.edu.cn/

挂马分析：
[root]http://chinese.xmu.edu.cn/
…[script]http://bbd.IsGre.at/b.js?google=06×171
……[iframe]http://anr.2288.org/55/300ay.htm
………[flash]http://anr.2288.org/55/iie.swf
………[flash]http://anr.2288.org/55/fff.swf
………[iframe]http://anr.2288.org/55/av.htm
…………[iframe]http://anr.2288.org/55/6.htm
…………[iframe]http://anr.2288.org/55/7.htm
……………[exe]http://anr.2288.org/o/sm.exe

最终下载病毒文件：
http://anr.2288.org/o/sm.exe

通过执行以上病毒文件，来达到完全控制访问者的系统。

Google对该网站的判定：恶意

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 14% [?]