|
|
4 ], b7 I( }( H7 ^最近在百度搜索mp3的时候杀毒软件老是报警,仔细分析发现有网站竟然靠百度的mp3搜索挂木马,厉害。$ K0 n8 k/ h- k8 ?$ G" ~4 b
这个问题我象百度反映了好几次,等了1个星期都没有结果,我只有写出来让大家看看了。
2 I9 H7 X# O$ k% L+ l情况是这样:
2 {0 B0 K4 j/ j) _. I
; x3 j, M& `3 h% _2 W我
( e3 {3 |" a; \. D4 H Y们先在百度mp3搜索热门歌曲,比如:"该死的温柔",第7首就是这个该死的病毒了,看它的域名还是:http://yy7.goto-make-; p8 O' C- e' P' H$ u/ G
money.net,估计想钱想疯了,如果有人直接点这首歌,立刻会转向到http:, T% w, r; B {* l7 |5 [7 n
//www.loveinhere.com/httpBad/nofind6.htm,这个网页不但挂了木马,而且做了死循环的弹出对话框和窗口,一般人
: y4 Y9 x( x7 z: @ y打开基本中招,我们分析下这个网页的源代码发现:有计数器,呵呵
0 M/ q6 q8 k( G1 O7 c3 N
. S+ l$ M8 a! u5 }</p><p>
1 U0 g. \2 u1 \: K大量恶意代码:</p><p># K1 \- `* u$ C+ a7 N; O
5 m; K4 P, S. o4 z7 f1 A
1 [! i3 h( J# B6 D
2 k. c3 x1 S) K
% w+ e, w4 |) n- y</p><p>如果有人在线试听这个地址的mp3# w8 @$ D- G. ^4 ]$ n! `
0 x/ U; }6 S: ?8 @% M5 l( y点击后会立刻弹出木马页面,是利用了播放器</p><p>打开了这个网页文件的bug吧,弹出地址为:http://vv.jnyj.cn/go/go-1.htm,</p><p>分析下源代码发现2个木马页面:
" [4 a2 F# z% k7 `. Ohttp://www.30-q.com/mm/
/ T/ ?9 k- i7 E4 v$ g; {% b2 Lhttp://www.qqqqqqqqqqqqqqqqqqqqqqqqqqqqqq.com/mm/
& [, Y2 U+ A5 u+ a& J分析下看到木马了吧:
& A( H" C5 c( @# ?# D
1 W0 O f0 J b1 m( O* `) V6 p' g( |! f
4 y) L: E3 e& a E! R6 K
; C" _% t9 [0 d9 q6 k. y: U0 n, }! W
</p><p>查了一下他域名的资料,浙江温州凌宇科技的人:3 l/ s" B+ d/ B8 z# d
6 k# T: h' `0 z! w' [7 m: b+ G2 H5 h0 S; {& _ G* z% F9 I* g- p
; M' l7 K) G) h4 J* s) ^
6 c1 j5 ^7 W, H; U8 S; N2 P! v网上查到他QQ,看资料年龄也不小了,学计算机也不能这么搞钱吧?</p><p>保守估计百度收录了此人几千首热门mp3(也就是病毒木马了),每天通过mp3搜索中毒的人估计超过10000,希望此人不要拿法律当儿戏,不然真会玩火自焚的!</p><p>最后附上他的一些网站地址. I# s, u$ |* z1 l) ^
用来引导百度的: r# M# `7 a- [4 q
http://www.jnyj.cn/mp3/
- c. W7 u: Y% X4 P自己的一些木马站和流量站:
% T, z+ z: f1 Q; W% N9 L5 ghttp://www.goto-make-money.net+ z" n4 J K, `+ p. m$ m
http://www.goto-make-money.com
# j0 {9 _5 b. G0 m9 [4 c- k! z) mhttp://yy7.goto-make-money.net(yy1-yy9的二级域名)$ |9 N& L* d0 l+ l+ F
http://www.make-money-888.com7 P" O) A' G5 n% ^2 w {, o
http://www.make-money-88.com/ p" x/ J" A0 L+ Y1 X
http://www.mir2-sf.com/ ! I3 @/ \9 I, n# R" s
http://www.ypall.com! k4 h/ {% x! N6 ?1 V0 O0 H8 g( {+ z
http://www.loveinhere.com
8 ?4 A$ U P9 N7 f) ?http://music.loveinhere.com
) H8 x1 ^& X$ p8 f, K B& fhttp://vv.jnyj.cn
7 F; }; s' g; l% |" ehttp://www.88888888888888888888888888888888888888888888888888.com* S, J- H3 o, L% [- D. S& c
http://www.88888888888888888888888888888888888888888888888888.net) L9 Z s3 k) u( ~. @, r% p I& I" [5 j
http://www.30-q.com/mm/) ?+ d% Y' M$ @( {! s
http://www.qqqqqqqqqqqqqqqqqqqqqqqqqqqqqq.com/mm/
. {7 `. u0 g8 F( U! n @# a: S8 a8 hhttp://www.50ge8.com</p> |
|
IP卡
狗仔卡
发表于 2007-6-13 06:53:30
收藏
转播
分享
淘帖
赞
反对
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2007-6-17 10:28:38
