瑞星卡卡安全论坛

2009年8月11日 稍晚时候发现搜狐留学网被挂马 截止发稿时止挂马仍未解除
瑞星软件可以拦截该挂马攻击


用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; InfoPath.2; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)

Log is generated by FreShow.
[wide]http://liuxue.sohu.com/sgp/
    [frame]http://www.gededu.org/sohusgp/image_news.asp
    [frame]http://www.schoolsgp.com/xjp/index.asp
    [frame]http://www.studysgp.com/xjp/zhinan.asp
        [script]http://%77%2E%74%74%6B%69%73%73%2E%63%6F%6D%2E%63%6E
            [object]http://ttxo.3322.org/dszq/2.htm
                [frame]http://hd4ok.cn/x2/xx.html
                    [frame]http://hd4ok.cn/x2/Td14.htm
                        [script]http://hd4ok.cn/x2/14.js
                            [object]http://d.nkwxs.com/xx/x2.css
                        [script]http://hd4ok.cn/x2/15.js
                        [script]http://hd4ok.cn/x2/16.js
                    [frame]http://hd4ok.cn/x2/yt.htm
                        [script]http://hd4ok.cn/x2/\'go1.jpg\'
                            [object]http://d.nkwxs.com/xx/x2.css
                        [script]http://hd4ok.cn/x2/\'go.jpg\'
                        [script]http://hd4ok.cn/x2/\'go2.jpg\'
                        [script]http://hd4ok.cn/x2/\'go4.jpg\'
                        [script]http://hd4ok.cn/x2/\'go3.jpg\'
                    [frame]http://hd4ok.cn/x2/dxxz.htm
                        [script]http://hd4ok.cn/x2/091.js
                            [object]http://d.nkwxs.com/xx/x2.css
                        [script]http://hd4ok.cn/x2/092.js
                    [frame]http://hd4ok.cn/x2/yut.htm
                        [frame]http://hd4ok.cn/x2/ytfl.htm
                            [frame]http://hd4ok.cn/x2/y1.htm
                                [object]http://d.nkwxs.com/xx/x2.css
                            [frame]http://hd4ok.cn/x2/t2.htm
                                [object]http://d.nkwxs.com/xx/x2.css
                            [frame]http://hd4ok.cn/x2/y1.htm
                                [object]http://d.nkwxs.com/xx/x2.css
                        [frame]http://hd4ok.cn/x2/of.htm
                            [script]http://hd4ok.cn/x2/of.js
                                [object]http://d.nkwxs.com/xx/x2.css
                            [script]http://hd4ok.cn/x2/of1.css
                [script]http://js.tongji.linezing.com/1240663/tongji.js
                    [script]http://js.tongji.linezing.com/1240663/\""+_st_dest+"\"
        [script]http://%77%2E%74%74%6B%69%73%73%2E%63%6F%6D%2E%63%6E
            [object]http://ttxo.3322.org/dszq/2.htm
                [frame]http://hd4ok.cn/x2/xx.html
                    [frame]http://hd4ok.cn/x2/Td14.htm
                        [script]http://hd4ok.cn/x2/14.js
                            [object]http://d.nkwxs.com/xx/x2.css
                        [script]http://hd4ok.cn/x2/15.js
                        [script]http://hd4ok.cn/x2/16.js
                    [frame]http://hd4ok.cn/x2/yt.htm
                        [script]http://hd4ok.cn/x2/\'go1.jpg\'
                            [object]http://d.nkwxs.com/xx/x2.css
                        [script]http://hd4ok.cn/x2/\'go.jpg\'
                        [script]http://hd4ok.cn/x2/\'go2.jpg\'
                        [script]http://hd4ok.cn/x2/\'go4.jpg\'
                        [script]http://hd4ok.cn/x2/\'go3.jpg\'
                    [frame]http://hd4ok.cn/x2/dxxz.htm
                        [script]http://hd4ok.cn/x2/091.js
                            [object]http://d.nkwxs.com/xx/x2.css
                        [script]http://hd4ok.cn/x2/092.js
                    [frame]http://hd4ok.cn/x2/yut.htm
                        [frame]http://hd4ok.cn/x2/ytfl.htm
                            [frame]http://hd4ok.cn/x2/y1.htm
                                [object]http://hd4ok.cn/x2/x1.swf
                                    [object]http://d.nkwxs.com/xx/x2.css
                            [frame]http://hd4ok.cn/x2/t2.htm
                            [frame]http://hd4ok.cn/x2/y1.htm
                        [frame]http://hd4ok.cn/x2/of.htm
                            [script]http://hd4ok.cn/x2/of.js
                                [object]http://d.nkwxs.com/xx/x2.css
                            [script]http://hd4ok.cn/x2/of1.css
                [script]http://js.tongji.linezing.com/1240663/tongji.js
                    [script]http://js.tongji.linezing.com/1240663/\""+_st_dest+"\"
    [frame]http://www.studysgp.com/xjp/shenghuo.asp
        [script]http://%77%2E%74%74%6B%69%73%73%2E%63%6F%6D%2E%63%6E
            [object]http://ttxo.3322.org/dszq/2.htm
        [script]http://%77%2E%74%74%6B%69%73%73%2E%63%6F%6D%2E%63%6E
            [object]http://ttxo.3322.org/dszq/2.htm
    [frame]http://www.studysgp.com/xjp/navitas.asp
        [script]http://%77%2E%74%74%6B%69%73%73%2E%63%6F%6D%2E%63%6E
            [object]http://ttxo.3322.org/dszq/2.htm
        [script]http://%77%2E%74%74%6B%69%73%73%2E%63%6F%6D%2E%63%6E
            [object]http://ttxo.3322.org/dszq/2.htm
    [frame]http://www.studysgp.com/xjp/gxjc.asp
    [script]http://s11.cnzz.com/stat.php?id=1149874&web_id=1149874&show=pic

还挂着呢:kaka6:

应该是利用微软MPEG2视频漏洞，注意经常修复系统漏洞。。。

关于:hxxp://liuxue.sohu.com/sgp/解密的日志(全体输出 -  59):

Level  0>http://liuxue.sohu.com/sgp/
Level  1>http://s11.cnzz.com/stat.php?id=1149874&web_id=1149874&show=pic
Level  2>http://b79.cnzz.com/stat.htm?id=1149874+data+
Level  2>http://icon.cnzz.com/pic.gif
Level  1>http://www.studysgp.com/xjp/gxjc.asp
Level  2>http://www.studysgp.com/xjp/img/arrow_6.gif
Level  2>http://%77%2e%74%74%6b%69%73%73%2e%63%6f%6d%2e%63%6e
Level  3>http://ttxo.3322.org/dszq/2.htm
Level  4>http://tongji.linezing.com/1240663/tongji.js
Level  4>http://hd4ok.cn/x2/xx.html
Level  5>http://hd4ok.cn/x2/yut.htm
Level  6>http://hd4ok.cn/x2/of.htm
Level  7>http://hd4ok.cn/x2/of1.css 
Level  7>http://hd4ok.cn/x2/of.js
Level  8>http://d.nkwxs.com/xx/x2.css  ●
Level  6>http://hd4ok.cn/x2/ytfl.htm
Level  7>http://hd4ok.cn/x2/y1.htm
Level  8>http://hd4ok.cn/x2/x1.swf  （省略其他swf）
Level  9>http://xiqiji36.cn/i/s3.exe  ●
Level  7>http://hd4ok.cn/x2/t2.htm  （同y1.htm）
Level  5>http://hd4ok.cn/x2/dxxz.htm
Level  6>http://hd4ok.cn/x2/092.js
Level  7>http://hd4ok.cn/x2/s1
Level  6>http://hd4ok.cn/x2/091.js
Level  7>http://d.nkwxs.com/xx/x2.css  ●
Level  5>http://hd4ok.cn/x2/yt.htm
Level  6>http://hd4ok.cn/x2/go3.jpg
Level  6>http://hd4ok.cn/x2/go4.jpg
Level  6>http://hd4ok.cn/x2/go2.jpg
Level  6>http://hd4ok.cn/x2/go.jpg
Level  6>http://hd4ok.cn/x2/go1.jpg
Level  7>http://d.nkwxs.com/xx/x2.css  ●
Level  5>http://hd4ok.cn/x2/td14.htm
Level  6>http://hd4ok.cn/x2/16.js
Level  6>http://hd4ok.cn/x2/15.js
Level  6>http://hd4ok.cn/x2/14.js
Level  7>http://d.nkwxs.com/xx/x2.css  ●
Level  1>http://www.studysgp.com/xjp/navitas.asp
Level  2>http://%77%2e%74%74%6b%69%73%73%2e%63%6f%6d%2e%63%6e
Level  3>http://ttxo.3322.org/dszq/2.htm
Level  4>http://js.tongji.linezing.com/1240663/tongji.js
Level  4>http://hd4ok.cn/x2/xx.html
Level  5>http://hd4ok.cn/x2/yut.htm
Level  6>http://hd4ok.cn/x2/of.htm
Level  7>http://hd4ok.cn/x2/of1.css
Level  7>http://hd4ok.cn/x2/of.js
Level  8>http://d.nkwxs.com/xx/x2.css  ●
Level  6>http://hd4ok.cn/x2/ytfl.htm
Level  7>http://hd4ok.cn/x2/y1.htm
Level  7>http://hd4ok.cn/x2/t2.htm
Level  7>http://hd4ok.cn/x2/y1.htm
Level  5>http://hd4ok.cn/x2/dxxz.htm
Level  5>http://hd4ok.cn/x2/yt.htm
Level  5>http://hd4ok.cn/x2/td14.htm
Level  2>http://%77%2e%74%74%6b%69%73%73%2e%63%6f%6d%2e%63%6e
Level  1>http://www.studysgp.com/xjp/shenghuo.asp
Level  1>http://www.studysgp.com/xjp/zhinan.asp
Level  1>http://www.schoolsgp.com/xjp/index.asp
Level  1>http://www.gededu.org/sohusgp/image_news.asp

日志由 Redoce2.0第27次修正版于 2009-8-12 9:42:35 生成。