|
|
* j! `; m6 O" \; E最近在百度搜索mp3的时候杀毒软件老是报警,仔细分析发现有网站竟然靠百度的mp3搜索挂木马,厉害。
, [. l4 m9 ~) X& z+ ^3 \# e1 J这个问题我象百度反映了好几次,等了1个星期都没有结果,我只有写出来让大家看看了。
0 b( L: {& Y1 ]6 l; ^0 f% K" L, q情况是这样:6 N5 l$ k8 b& p" d9 G' X+ \8 }4 s/ o
" @* p5 p! a8 o: G8 \
我( ?8 S: B& ^, S, m
们先在百度mp3搜索热门歌曲,比如:"该死的温柔",第7首就是这个该死的病毒了,看它的域名还是:http://yy7.goto-make-
) T5 O+ Y! N* dmoney.net,估计想钱想疯了,如果有人直接点这首歌,立刻会转向到http:/ F# y6 t+ o3 e
//www.loveinhere.com/httpBad/nofind6.htm,这个网页不但挂了木马,而且做了死循环的弹出对话框和窗口,一般人8 ^$ S9 c* y0 P9 R
打开基本中招,我们分析下这个网页的源代码发现:有计数器,呵呵! }( f N- r$ i7 u
9 v3 ?* L% N& K* l
</p><p>; N. x; J, h; f; o2 k f2 _$ R
大量恶意代码:</p><p>3 @/ u6 \* e0 ?# i8 U5 m( d4 O
/ h# V+ E- x* w* A# S. Y q- N7 ~7 ^5 g3 `$ g
' s& |9 F8 [) m" k
7 q0 ]3 ?8 M2 ^# @</p><p>如果有人在线试听这个地址的mp3
# W6 J( p6 P0 v9 x$ }+ c/ i4 a' Z- }' |* S
点击后会立刻弹出木马页面,是利用了播放器</p><p>打开了这个网页文件的bug吧,弹出地址为:http://vv.jnyj.cn/go/go-1.htm,</p><p>分析下源代码发现2个木马页面:1 R) ~8 S; j4 F2 j' {
http://www.30-q.com/mm/
. A. u! |8 N5 k! K3 Thttp://www.qqqqqqqqqqqqqqqqqqqqqqqqqqqqqq.com/mm/7 ?2 M X% ]+ u
分析下看到木马了吧:
" O5 s2 A& m% U
! B' Q( `9 I6 E; Y9 h5 z0 W% }) i/ m; w& r# ^9 m: n: O7 I/ J2 H9 {9 T
' F; X4 _$ g0 s% c
3 U3 C8 p$ j# V; S* h5 X& J8 _$ m% n& P+ }/ d2 ?
</p><p>查了一下他域名的资料,浙江温州凌宇科技的人:
' ]- |' w7 ?- L3 @ R( N) J7 r! X3 v" B6 E2 b8 P9 r) \/ P4 x% B
4 l* c9 E4 u$ Y0 h" Z% B; r" \
U0 M% }! k# i) c! ^2 W( {+ G* a ]5 \1 J K- V, F* I
网上查到他QQ,看资料年龄也不小了,学计算机也不能这么搞钱吧?</p><p>保守估计百度收录了此人几千首热门mp3(也就是病毒木马了),每天通过mp3搜索中毒的人估计超过10000,希望此人不要拿法律当儿戏,不然真会玩火自焚的!</p><p>最后附上他的一些网站地址8 V$ t# Z; C! j2 d& k# L, e; z
用来引导百度的:4 ]7 g3 R0 A- ?# v% k/ b U8 K
http://www.jnyj.cn/mp3/
5 V4 L, S1 R$ r! K, _自己的一些木马站和流量站:
3 ?% T# F" D, l. Hhttp://www.goto-make-money.net
9 [3 C* R* }, phttp://www.goto-make-money.com
. B: L) e0 S3 yhttp://yy7.goto-make-money.net(yy1-yy9的二级域名): A4 @. G5 E9 t* t5 M
http://www.make-money-888.com
1 d! k- p6 U$ R8 I: n, e _http://www.make-money-88.com! }4 F: O, F; l F6 u& V. H
http://www.mir2-sf.com/
0 Z2 q ?$ f- x# K$ ]* w3 n- Ehttp://www.ypall.com
0 G; K3 J: s) H, g( h! F- J0 phttp://www.loveinhere.com( G1 c _! o3 Q; ^7 [
http://music.loveinhere.com
/ j7 o/ Q, B% |4 P/ khttp://vv.jnyj.cn
" ^+ d5 E2 z9 {* ], O1 `9 Xhttp://www.88888888888888888888888888888888888888888888888888.com1 U% _. I0 t E: A
http://www.88888888888888888888888888888888888888888888888888.net
" j0 p" D# h# J( X# x. p* i% ]% ]http://www.30-q.com/mm/' J6 Y# e2 T1 x, d7 m/ `" P
http://www.qqqqqqqqqqqqqqqqqqqqqqqqqqqqqq.com/mm/
8 k$ N5 x- a% _% \http://www.50ge8.com</p> |
|
IP卡
狗仔卡
发表于 2007-6-13 06:53:30
收藏
转播
分享
淘帖
赞
反对
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2007-6-17 10:28:38
