|
|
; `! Q% P' b, f& K
最近在百度搜索mp3的时候杀毒软件老是报警,仔细分析发现有网站竟然靠百度的mp3搜索挂木马,厉害。
, X6 A8 u/ h2 e( }这个问题我象百度反映了好几次,等了1个星期都没有结果,我只有写出来让大家看看了。# [" J) X+ S; Y- o- l
情况是这样:
- o; n6 T/ Q% S% I+ P% q
4 T; G9 \/ C( {6 i; M+ E3 p3 G/ E8 H# q我
1 @% |/ k- ]- J% z7 _2 L们先在百度mp3搜索热门歌曲,比如:"该死的温柔",第7首就是这个该死的病毒了,看它的域名还是:http://yy7.goto-make-, M$ v( W! K6 c+ j1 t& d7 c
money.net,估计想钱想疯了,如果有人直接点这首歌,立刻会转向到http:
: V8 ]2 S' {/ U" m& f4 j//www.loveinhere.com/httpBad/nofind6.htm,这个网页不但挂了木马,而且做了死循环的弹出对话框和窗口,一般人
, o; j1 E: s" E. ^% A打开基本中招,我们分析下这个网页的源代码发现:有计数器,呵呵
9 a5 V5 T y0 _$ H$ b5 A
" P( V/ ]$ A0 \* W7 K, ]6 Q</p><p>+ X" B+ q; }8 W' ]- U
大量恶意代码:</p><p>% V: c' n c+ K1 [/ |
' n/ T: E6 z6 D# n! i! w! L e
% {; F4 }5 g8 a3 h' M6 A( _ M. O7 n$ B3 C4 b. c
C% N. M, D6 C2 ~& h</p><p>如果有人在线试听这个地址的mp3
) o& o7 \3 w, x2 q4 E w& h3 | \# \# ?* Y9 d# a2 }& H+ z
点击后会立刻弹出木马页面,是利用了播放器</p><p>打开了这个网页文件的bug吧,弹出地址为:http://vv.jnyj.cn/go/go-1.htm,</p><p>分析下源代码发现2个木马页面:
% z7 M4 ]( G0 j/ v) k, K. chttp://www.30-q.com/mm/
; ]! j; D$ _( u- ?6 chttp://www.qqqqqqqqqqqqqqqqqqqqqqqqqqqqqq.com/mm/
1 F/ Y, X3 P" i* z9 f' w分析下看到木马了吧:
0 r I/ q3 d D, j/ [+ e1 z, C' `2 I! f$ S0 f4 n
9 E0 p! p3 j+ d, C% G; Z6 l9 D, I- n, e+ y! S1 G( {# W
$ z3 I$ r( \8 q) q! \# |8 v% I% b
/ O5 t7 T" x: G( X9 I' W6 N) |) k
</p><p>查了一下他域名的资料,浙江温州凌宇科技的人:( L8 A1 \) M5 \1 M7 L
, M8 V: A* j% R0 j
7 [' b" I' t; i
4 Z& k; C9 ?* ]2 i; r& q, D
p) U: X c+ d8 X7 f0 _* e网上查到他QQ,看资料年龄也不小了,学计算机也不能这么搞钱吧?</p><p>保守估计百度收录了此人几千首热门mp3(也就是病毒木马了),每天通过mp3搜索中毒的人估计超过10000,希望此人不要拿法律当儿戏,不然真会玩火自焚的!</p><p>最后附上他的一些网站地址
7 s8 S# e+ u! F3 n1 \用来引导百度的:
% b9 a' N5 @: L4 R- \. k3 P" Xhttp://www.jnyj.cn/mp3/. j2 |$ b6 A% x
自己的一些木马站和流量站:
; Y. L+ N v3 h% lhttp://www.goto-make-money.net$ P2 o" J5 ]4 D3 ?7 `
http://www.goto-make-money.com* T: @! C# X9 D% R) p* N5 b
http://yy7.goto-make-money.net(yy1-yy9的二级域名)7 ]4 X4 ]" `% f* e9 {# x( z
http://www.make-money-888.com
. k/ R9 B4 t' hhttp://www.make-money-88.com
R: @- d) z/ S& nhttp://www.mir2-sf.com/ 7 v3 j. P0 S4 c
http://www.ypall.com
1 A8 [ }/ V& Phttp://www.loveinhere.com
: R" y) M" \/ J' W' k4 V$ ?6 Whttp://music.loveinhere.com2 M" l6 ?! f L( }& y; g
http://vv.jnyj.cn
# u# Q: Y k0 Ahttp://www.88888888888888888888888888888888888888888888888888.com. i% \9 U3 Q x# A
http://www.88888888888888888888888888888888888888888888888888.net: K1 A7 H3 P/ }. n8 [2 P
http://www.30-q.com/mm/2 X8 [) J! N `( b4 g, |4 M" N
http://www.qqqqqqqqqqqqqqqqqqqqqqqqqqqqqq.com/mm/
; j. U4 {6 _0 |$ O$ nhttp://www.50ge8.com</p> |
|
IP卡
狗仔卡
发表于 2007-6-13 06:53:30
收藏
转播
分享
淘帖
赞
反对
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2007-6-17 10:28:38
