安天防线

首页

使用指南

软件下载

在线安装

产品升级

产品购买

客户服务

安全资讯

论坛交流

北京问答_八戒知道网站挂马事件

出处：安天实验室时间：2008年8月2日

　　8月2日，安天实验室发现，北京问答_八戒知道网站挂马(http://bj.8j.com/question/all)被黑客植入病毒，用户如果访问该网站，系统就会自动从恶意网站上下载并运行恶意程序。被感染病毒的用户系统可能被远程控制，盗取用户敏感信息。甚至导致死机。

该网站问题代码：

　　
　　　　　
　　 src="http://css.8j.com/com***/ad/BJS/QL.js" http://css.8j.com/com***/ad/BJS/QL.js问题框架代码：

　　

　　 src=http://www.fjd****.cn/x9.htm?88883 width=100 height=0 http://www.fjd****.cn/x9.htm?88883问题框架代码：

　　

　　 <iframe src=old.html width=100 height=0></iframe> http://www.fjd****.cn/old.html网马代码：

　　

　　以上加密网马解密后可知利用以下漏洞来传播：
　　 MS06014漏洞 (clsid:BD96C556-65A3-11D0-983A-00C04FC29E36)
　　 RealPlayer播放器IERPCtl.IERPCtl.1漏洞
　　联众世界游戏大厅所安装的GLCHAT.GLChatCtrl.1 ActiveX控件漏洞
　　 Adobe Flash Player SWF文件漏洞
　　百度搜霸ActiveX控件远程代码执行漏洞
　　 Qvod Player QvodInsert.dll ActiveX控件远程代码执行漏洞
　　 UUsee最新漏洞

　　当用户访问http://bj.8j.com/question/all时，系统会自动下载以下病毒文件：

　　 http://upa.luz****.net/laco1.exe
　　病毒名：(Trojan-GameThief.Win32.OnLineGames.siyn)
　　 http://upa.luz****.net/laco2.exe
　　病毒名：(Trojan-GameThief.Win32.OnLineGames.siyn)
　　 http://upa.luz****.net/laco3.exe
　　病毒名：(Trojan-GameThief.Win32.OnLineGames.slzl)
　　 http://upa.luz****.net/laco4.exe
　　病毒名：(Trojan-GameThief.Win32.OnLineGames.shhv)
　　 http://upa.luz****.net/laco5.exe
　　病毒名：(Trojan-GameThief.Win32.OnLineGames.slzl)
　　 http://upa.luz****.net/laco6.exe
　　病毒名：(Trojan-GameThief.Win32.OnLineGames.slzl)
　　 http://upa.luz****.net/laco7.exe
　　病毒名：(Trojan-GameThief.Win32.OnLineGames.smjn)
　　 http://upb.luz****.net/laco8.exe
　　病毒名：(Trojan-GameThief.Win32.OnLineGames.siyn)
　　 http://upb.luz****.net/laco9.exe
　　病毒名：(Trojan-GameThief.Win32.OnLineGames.siyn)
　　 http://upb.luz****.net/laco10.exe
　　病毒名：(Trojan.Win32.Agent.sav)
　　 http://upb.luz****.net/laco11.exe
　　病毒名：(Trojan-GameThief.Win32.OnLineGames.slzi)
　　 http://upb.luz****.net/laco12.exe
　　病毒名：(Trojan-GameThief.Win32.OnLineGames.smlr)
　　 http://upb.luz****.net/laco13.exe
　　病毒名：(Trojan-GameThief.Win32.OnLineGames.sjxn)
　　 http://upb.luz****.net/laco14.exe
　　病毒名：(Trojan-GameThief.Win32.OnLineGames.shhw)
　　 http://upc.luz****.net/laco15.exe
　　病毒名：(Trojan-GameThief.Win32.OnLineGames.smnv)
　　 http://upc.luz****.net/laco16.exe
　　病毒名：(Trojan-GameThief.Win32.OnLineGames.siyn)
　　 http://upc.luz****.net/laco17.exe
　　病毒名：(Trojan-GameThief.Win32.OnLineGames.sjxn)
　　 http://upc.luz****.net/laco18.exe
　　病毒名：(Trojan-GameThief.Win32.OnLineGames.slzl)
　　 http://upc.luz****.net/laco19.exe
　　病毒名：(Trojan-GameThief.Win32.OnLineGames.siyn)
　　 http://upc.luz****.net/laco20.exe
　　病毒名：(Trojan-GameThief.Win32.OnLineGames.slzl)
　　 http://upc.luz****.net/laco21.exe
　　病毒名：(Trojan-GameThief.Win32.OnLineGames.smys)
　　 http://upc.luz****.net/laco22.exe
　　病毒名：(Trojan-GameThief.Win32.OnLineGames.shhv)
　　 http://upd.luz****.net/laco23.exe
　　病毒名：(Trojan-GameThief.Win32.OnLineGames.siyn)
　　 http://upd.luz****.net/laco24.exe
　　病毒名：(Trojan-GameThief.Win32.OnLineGames.smjn)
　　 http://upd.luz****.net/laco25.exe
　　病毒名：(Trojan-GameThief.Win32.OnLineGames.sjxn)
　　 http://upd.luz****.net/laco26.exe
　　病毒名：(Trojan-GameThief.Win32.OnLineGames.sazg)
　　 http://upd.luz****.net/laco27.exe
　　病毒名：(Trojan-GameThief.Win32.OnLineGames.slcw)
　　 http://upd.luz****.net/laco28.exe
　　病毒名：(Trojan-GameThief.Win32.OnLineGames.sjxn)
　　 http://upd.luz****.net/laco29.exe
　　病毒名：(Trojan-GameThief.Win32.OnLineGames.smjn)
　　 http://upd.luz****.net/laco30.exe
　　病毒名：(Trojan-GameThief.Win32.OnLineGames.shhw)
　　 http://upd.luz****.net/laco31.exe
　　病毒名：(Trojan-GameThief.Win32.OnLineGames.shhw)
　　 http://upd.luz****.net/laco32.exe
　　病毒名：(Trojan-GameThief.Win32.OnLineGames.slmh)
　　 http://upd.luz****.net/laco33.exe
　　病毒名：(Trojan-GameThief.Win32.OnLineGames.slzl)
　　 http://upd.luz****.net/laco34.exe
　　病毒名：(Trojan-GameThief.Win32.OnLineGames.shig)
　　 http://upd.luz****.net/laco35.exe
　　病毒名：(Trojan-GameThief.Win32.OnLineGames.shig)
　　以上病毒文件为下载者木马和游戏盗号木马，自动运行后将会，盗取用户敏感信息，甚至导致死机。由于下载数量太多，这里不一一分析。