|
|
, T8 `( W: z. D最近在百度搜索mp3的时候杀毒软件老是报警,仔细分析发现有网站竟然靠百度的mp3搜索挂木马,厉害。
- U: k& {2 L' w这个问题我象百度反映了好几次,等了1个星期都没有结果,我只有写出来让大家看看了。: H. }7 ^: t# j1 T+ A) q* j
情况是这样:
! ?9 ?8 G; U% W
. `* B% j: K o; M我. p$ k6 H8 P$ Z7 W' q
们先在百度mp3搜索热门歌曲,比如:"该死的温柔",第7首就是这个该死的病毒了,看它的域名还是:http://yy7.goto-make-
6 K A9 u% c) a2 h- Rmoney.net,估计想钱想疯了,如果有人直接点这首歌,立刻会转向到http:
9 l9 D y" q2 m7 o2 L/ \//www.loveinhere.com/httpBad/nofind6.htm,这个网页不但挂了木马,而且做了死循环的弹出对话框和窗口,一般人
! a# R3 _4 L0 W) ?1 V打开基本中招,我们分析下这个网页的源代码发现:有计数器,呵呵
5 J; c2 q4 l8 f4 r5 Q& ~; {: C$ a2 s
</p><p>
. V) s! I) o+ S1 b大量恶意代码:</p><p>
]& F3 {% \/ \9 Z* B0 j& Q) G
' E0 o) w4 h- j; S! {* j, ?" `& D3 q5 B2 Z4 }- v
7 d" l9 {; G; X: M8 _8 B/ I% }4 X7 J p# h5 F* `* n
</p><p>如果有人在线试听这个地址的mp3* ?, X9 t4 p0 C3 H3 C
4 |' w9 k9 G! P* j1 ]. E
点击后会立刻弹出木马页面,是利用了播放器</p><p>打开了这个网页文件的bug吧,弹出地址为:http://vv.jnyj.cn/go/go-1.htm,</p><p>分析下源代码发现2个木马页面:
9 {7 Z6 V% H) hhttp://www.30-q.com/mm/" r* s4 b, J3 ^/ ^9 L. w) }3 m8 E
http://www.qqqqqqqqqqqqqqqqqqqqqqqqqqqqqq.com/mm/
: }8 G0 b; f7 r1 K( y- C分析下看到木马了吧:
6 |3 c# u+ L6 Q7 `! {$ y1 {( |% C% R% @" s
: G. u4 |2 \2 {% m3 _
# C- O* p6 j; d
8 |' l; |2 y, K0 P
8 } ], E( Y$ g0 T" |+ Q% [5 d</p><p>查了一下他域名的资料,浙江温州凌宇科技的人:
7 A v: j; s# x; |
% F! X2 d$ h9 W+ ]4 `7 O4 H u9 M$ }7 ]3 ^8 g6 e- S, K5 z
0 F8 h& N* ?1 B* H
& C% k# \/ `* N& k3 B网上查到他QQ,看资料年龄也不小了,学计算机也不能这么搞钱吧?</p><p>保守估计百度收录了此人几千首热门mp3(也就是病毒木马了),每天通过mp3搜索中毒的人估计超过10000,希望此人不要拿法律当儿戏,不然真会玩火自焚的!</p><p>最后附上他的一些网站地址* F. t$ x5 g+ C8 ^
用来引导百度的:' _* |+ h* ^0 c
http://www.jnyj.cn/mp3/
9 H( t: H/ D) y: l9 k自己的一些木马站和流量站:
& h3 z c. K. ~- T" E+ ~http://www.goto-make-money.net h1 n/ P4 P- t3 R$ K
http://www.goto-make-money.com8 x9 B/ g+ t6 r9 m
http://yy7.goto-make-money.net(yy1-yy9的二级域名)
( B$ o7 |$ O/ G& N" Jhttp://www.make-money-888.com
6 D+ Z. k# u, F/ u. t+ ~8 h% Xhttp://www.make-money-88.com8 k% `' H, R; w" s1 A
http://www.mir2-sf.com/
; p. k2 W: w9 E! [ Shttp://www.ypall.com
8 C- N4 [3 F( h9 j: Vhttp://www.loveinhere.com
2 b/ `) v! R5 h0 S- T _http://music.loveinhere.com& C0 ~( k8 X* Y2 G1 c0 |
http://vv.jnyj.cn
( E' h) d8 @1 [/ P: l3 t3 O$ ehttp://www.88888888888888888888888888888888888888888888888888.com
" X) @ C0 U [5 c0 ~, @http://www.88888888888888888888888888888888888888888888888888.net4 [3 y7 s) ]- h D
http://www.30-q.com/mm/
1 f, h D/ r9 M, O+ x* `; w: U2 mhttp://www.qqqqqqqqqqqqqqqqqqqqqqqqqqqqqq.com/mm/& z3 X# N9 u; g* Y
http://www.50ge8.com</p> |
|
IP卡
狗仔卡
发表于 2007-6-13 06:53:30
收藏
转播
分享
淘帖
赞
反对
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2007-6-17 10:28:38
