页面http://news.tom.com/2007-09-27/0020/08517215.html中以框架的形式内嵌一个易趣提供的广告,广告链接为:
http://promo.eachnet.com/win/zs/mobile070907o_300x150.html。广告页面中内置一JS脚本,脚本内又用框架的形式包含了
http://xxx.745970.com/newdm/new04.htm页面。new04.htm页面内以框架的形式内置两个网页木马页面,一个JS脚本。其中一
个网页木马页面利用了百度超级搜霸远程代码执行漏洞,另外一个利用了PPStream控件堆栈溢出漏洞,JS脚本为统计受害者
数量的脚本。
被挂马的页面源码截图:
易趣广告代码截图:
网页木马截图:
下载的木马地址为:http://down.dj7788.cn/bd.cab,此木马会下载大量的病毒木马并运行。下载的大部分
为Trojan-PSW.Win32.OnLineGames家族的木马。如:
木马程序 Trojan-PSW.Win32.OnLineGames.dpd 文件: 10.exe
木马程序 Trojan-PSW.Win32.OnLineGames.cmo 文件: 11.exe
木马程序 Trojan-PSW.Win32.OnLineGames.dgw 文件: 12.exe
木马程序 Trojan-PSW.Win32.OnLineGames.dgx 文件: 13.exe
木马程序 Trojan-Dropper.Win32.Agent.bxi 文件: 14.exe
木马程序 Trojan-PSW.Win32.OnLineGames.dkj 文件: 15.exe
木马程序 Trojan-Dropper.Win32.Agent.bvb 文件: 16.exe
木马程序 Trojan-PSW.Win32.OnLineGames.drt 文件: 17.exe
木马程序 Trojan-PSW.Win32.WOW.xp 文件: 19.exe
木马程序 Trojan-PSW.Win32.OnLineGames.dqt 文件: 2.exe
木马程序 Trojan-PSW.Win32.OnLineGames.dfs 文件: 3.exe
木马程序 Trojan-PSW.Win32.OnLineGames.doj 文件: 6.exe
木马程序 Trojan-PSW.Win32.OnLineGames.djv 文件: 8.exe
木马程序 Trojan-PSW.Win32.WOW.wz 文件: 9.exe
以上程序运行后将监视用户系统,窃取用户的QQ账号/网游账号等。其中一部分木马做了免杀处理以逃避杀毒软件的查杀。