瑞星卡卡安全论坛

首页 » 个人产品讨论区 » 瑞星个人防火墙V16 » 瑞星个人防火墙2011 » 999宝藏网挂马简要分析
科洛 - 2008-5-16 13:12:00
中午,一个朋友问我瑞星个人防火墙是不是误操作把999宝藏网(www。in9.cn)给屏蔽了。他经
常去那个坛子,现在每次都得把防火墙关掉才能上去,很麻烦。登陆那个网站看了下,不止瑞星个
人防火墙会拦截,安装了卡卡助手,上这个网站的时候也会提示访问的网址可能是一个不良网站。

随即问了相关的同事,告诉我,那个网站确实被挂马,而且之前也被挂过很多次。于是,对那个网
站进行了下简单的分析。
1、查看该网站的源代码,引用了几个js脚本,其中有一个是js路径下的global.js。这个脚本全
局引用,打开999宝藏网的任何一页都会调用这个脚本。

2、打开www。in9.cn/js/global.js文件,可以看到这个脚本又同时调用了几个脚本。其中有一行
调用了pw_tag.js文件。

3、 继续查看这个www。in9.cn/js/pw_tag.js的代码,可以看到一个高为1的iframe引用,应该
是比较明显的挂马或带流量广告的迹象。

而xu.html文件里又有一个iframe,引用“ads.html”文件。

4、 查看www。cnnz8.cn/ads.html,是一个加密的网页。

把代码最后一句window["\x65\x76\x61\x6c"] (t);改成ss.value=(t),在页面的最前面加
<textarea id=ss></textarea>,能够得到解出的页面。

5、 从解出的页面中可以得到几个地址:
http://www。360safee.net.cn/1.html
http://www。360safee.net.cn/x.html
http://www。360safee.net.cn/r.html
http://www。360safee.net.cn/nr.html
http://www。360safee.net.cn/Baidu.cab

Baidu.cab文件直接就是木马,瑞星报Trojan.Win32.Undef.ggv
1.html下载http://www。8yumen.cn/hello.exe,瑞星报Trojan.Win32.Undef.ghz
x.html下载http://www。chinaz8.cn/hello.exe
r.html 下载 http://www。chinaz8.cn/hello.exe
nr.html 下载http://www。chinaz8.cn/hello.exe

几个下载地址下载的文件相同。

        去那个论坛随便逛了逛,也有坛友反应被瑞星防火墙屏蔽的事情,一个管理员的回复差
点雷死我。

截止到发Blog时,该网站挂马扔没被清除。真不知道这时候是面子重要还是坛友的电脑安全重要
~~~

转载自http://hi.baidu.com/bjshiyu/blog/item/1579b9f80e4e0f0ad9f9fd21.html

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; TheWorld)
kukumaomao - 2008-5-16 13:59:00
很复杂啊
wanglan - 2008-5-16 14:50:00
该用户帖子内容已被屏蔽
wanglan - 2008-5-16 14:52:00
该用户帖子内容已被屏蔽
RisingCSC - 2008-5-16 15:10:00
这是转帖,lz已经说明了

转载自http://hi.baidu.com/bjshiyu/blog/item/1579b9f80e4e0f0ad9f9fd21.html
erpdom - 2008-5-16 15:13:00
我没装杀毒软件和防火墙,经测无毒,我刚上没事,瑞星的技术竟来一套。汗啊,谁还敢发域名出来啊,
RisingCSC - 2008-5-16 15:18:00
楼上的现在上没事,可能是该站站长已经清除了。

网站被挂马,才会把该网址添加到防火墙的网址过滤库的。如果该网站已经去掉了病毒,您可以通过http://tool.ikaka.com/ssinfo.asp进行举报,我们会在后续更新中处理。
炫橴銥 - 2008-5-17 14:01:00
我说最近怎么我一登陆999宝藏网就自动打开一个链接呢 原来是有木马啊
虹猫蓝兔七侠转 - 2008-5-17 14:15:00
靠列还
1
查看完整版本: 999宝藏网挂马简要分析