东方卫士下载中心(http://www.i110.com/down_upda.html)内含脚本base64.js,该脚本中被黑客置入加密后的恶意代码。该代码以框架的形式在脚本内嵌入一个网页http://www.cmd4.cn/***.htm,网页内又嵌入了http://123s123.cn/*****/99.htm,99.htm内包含两个网页木马和一个统计受害者数量的统计脚本。两个网页木马分别利用RealPlayer ierpplug.dll ActiveX控件播放列表名称栈溢出漏洞和系统漏洞MS06014来挂马。当计算机有漏洞的用户浏览到挂马网页时将触发漏洞,在后台自动下载木马并运行。
base64.js页面源码截图:
网页木马代码截图:
下载的木马地址为:http://123s123.cn/admin/**.exe,此木马会链接网络获取http://123s123.cn/****.txt文件,
并根据其中的地址下载大量的木马并运行。所下木马大部分为Trojan-PSW.Win32.OnLineGames家族的木马。如:
木马程序 Trojan-PSW.Win32.OnLineGames.ipq 文件: 3.exe
木马程序 Trojan-PSW.Win32.OnLineGames.irq 文件: 5.exe
木马程序 Trojan-PSW.Win32.OnLineGames.ihu 文件: 6.exe
木马程序 Trojan-PSW.Win32.OnLineGames.iqo 文件: 7.exe
木马程序 Trojan-PSW.Win32.OnLineGames.iqn 文件: 8.exe
木马程序 Trojan-PSW.Win32.OnLineGames.inp 文件: 9.exe
木马程序 Trojan-PSW.Win32.OnLineGames.iqo 文件: 91.exe
木马程序 Trojan-PSW.Win32.OnLineGames.imq 文件: 93.exe
木马程序 Trojan-PSW.Win32.OnLineGames.iod 文件: 95.exe
以上木马运行后将监视用户系统,窃取用户的QQ账号/网游账号等。其中一部分木马做了免杀处理以逃避杀毒软件的查杀。