论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2008-05-16 13:52 |只看该作者 |倒序浏览

中午，一个朋友问我瑞星个人防火墙是不是误操作把999宝藏网（www。in9.cn）给屏蔽了。他经常去那个坛子，现在每次都得把防火墙关掉才能上去，很麻烦。登陆那个网站看了下，不止瑞星个人防火墙会拦截，安装了卡卡助手，上这个网站的时候也会提示访问的网址可能是一个不良网站。\r\n\r\n\r\n\r\n\r\n随即问了相关的同事，告诉我，那个网站确实被挂马，而且之前也被挂过很多次。于是，对那个网站进行了下简单的分析。\r\n\r\n\r\n1、查看该网站的源代码，引用了几个js脚本，其中有一个是js路径下的global.js。这个脚本全局引用，打开999宝藏网的任何一页都会调用这个脚本。\r\n\r\n\r\n2、打开www。in9.cn/js/global.js文件，可以看到这个脚本又同时调用了几个脚本。其中有一行调用了pw_tag.js文件。\r\n\r\n\r\n3、继续查看这个www。in9.cn/js/pw_tag.js的代码，可以看到一个高为1的iframe引用，应该是比较明显的挂马或带流量广告的迹象。\r\n\r\n\r\n而xu.html文件里又有一个iframe，引用“ads.html”文件。\r\n\r\n\r\n\r\n4、查看www。cnnz8.cn/ads.html，是一个加密的网页。\r\n\r\n\r\n把代码最后一句window[\"\\x65\\x76\\x61\\x6c\"] (t);改成ss.value=(t)，在页面的最前面加<textarea id=ss></textarea>，能够得到解出的页面。\r\n\r\n\r\n\r\n5、从解出的页面中可以得到几个地址：\r\n\r\n\r\n\r\nhttp://www。360safee.net.cn/1.html\r\n\r\n\r\n\r\nhttp://www。360safee.net.cn/x.html\r\n\r\n\r\n\r\nhttp://www。360safee.net.cn/r.html\r\n\r\n\r\n\r\nhttp://www。360safee.net.cn/nr.html\r\n\r\n\r\n\r\nhttp://www。360safee.net.cn/Baidu.cab\r\n\r\n\r\n\r\nBaidu.cab文件直接就是木马，瑞星报Trojan.Win32.Undef.ggv\r\n\r\n\r\n\r\n1.html下载http://www。8yumen.cn/hello.exe，瑞星报Trojan.Win32.Undef.ghz\r\n\r\n\r\n\r\nx.html下载http://www。chinaz8.cn/hello.exe\r\n\r\n\r\n\r\nr.html 下载 http://www。chinaz8.cn/hello.exe\r\n\r\n\r\n\r\nnr.html 下载http://www。chinaz8.cn/hello.exe\r\n\r\n\r\n\r\n几个下载地址下载的文件相同。\r\n\r\n\r\n\r\n\r\n去那个论坛随便逛了逛，也有坛友反应被瑞星防火墙屏蔽的事情，一个管理员的回复差点雷死我。\r\n\r\n\r\n截止到发Blog时，该网站挂马扔没被清除。真不知道这时候是面子重要还是坛友的电脑安全重要~~~