当当论坛木马关系图Build0714 by http://bbs.anti-vir.cn
原帖: http://www.anti-vir.cn/bbs/read.php?tid=455&fpage=1
警告:以下网页均具有危险,如不懂处理,请勿乱点URL
近 日发现国内有名的B2C网上图书音像商城-当当网,其下论坛hxxp://club.dangdang.com被黑客利用动网论坛的漏洞入侵,连续多天 (7月9日至今)受多只木马(各木马均在数天内不断更新,以逃避AV的截杀)困扰。闲来无事,特写本笔记。由于水平有限,内容若有错漏,请指正,感谢。
一、首先登陆当当论坛(hxxp://club.dangdang.com)从其网页被黑客强加的多个iframe代码可知,一旦用户登陆当当论坛将可能从论坛首页隐含的危险框架,链接到非安全网站,从而中招。
A:当当论坛首页隐含的危险链接,将链接到下列非安全站点
A1. hxxp://www.sanyaidc.com/freepage/szylk123/icyfox.htm
A2. hxxp://bbs.77945.com/rver.htm
A3. hxxp://www.91key.com/images/key.htm (注1)
A4. hxxp://www.01dy.com/00044/hehe.htm (注2)
A5. hxxp://www.u178.com/kyomh/index.htm (注3)
A6. hxxp://www.jcpx.net/mm/02/index.htm (注4)
A7. hxxp://00011.e18.zgsj.com/bf/index.htm (注5)
注1:将下载bbs003302.css(灰鸽子木马),已多次更新。
注2:此网页隐含危险iframe代码,将继续链接到其他非安全站点。(注6:跳转到内容B)
注3:将下载一个kyomh.exe(网游木马)
注4:转向至hxxp://jcpx.net/mm/02/index0.htm并下载young.css
注5:将下载test.exe
B:由于hxxp://www.01dy.com/00044/hehe.htm 隐含危险代码,将链接到下列非安全站点(注2)
B1. hxxp://www.glit-usa.com/adminlogin/images/system.htm (注7)
B2. hxxp://www.01dy.com/00044/love.htm
注7:利用IE漏洞将debug并执行system.bmp(所谓Bmp木马),此乃木马下载器,将下载并执行1.exe(灰鸽子)love.exe(游戏木马)
小 结:即用户一旦登陆当当论坛,将有可能最多接收到以下7只木马病毒,但由于防毒软件会将上述的危险网页也一并报警,例如Kaspersky,最高纪录时报 警多达20次,由于当当是有名气的站点,其论坛也有不少受众,据笔者多次观察,不同时段仍有一百多人同时在线,可以影响非常坏,也非常严重。
1.hxxp://www.91key.com/images/bbs003302.css
2.hxxp://www.u178.com/kyomh/kyomh.exe
3.hxxp://www.glit-usa.com/adminlogin/images/system.bmp
4.hxxp://www.glit-usa.com/adminlogin/images/1.exe
5.hxxp://www.01dy.com/00057/love.exe
6.hxxp://jcpx.net/mm/02/young.css
7.hxxp://00011.e18.zgsj.com/bf/test.exe
二、由于当当论坛带毒事件当中牵涉到多个网站站点(包括个人、企业及地方信息站),相信部分也是被黑,笔者尝试反查那些被放置恶意代码的网站情况,以找出更多讯息。
C: 首先反查 hxxp://bbs.77945.com,同样发现被放置隐含的危险链接,将链接到下列非安全站点
C1: hxxp://5173.bigwww.com/guest/index.htm (注8)
C2: hxxp://bbs.77945.com/sohu.htm
而反查 hxxp://www.77945.com 没有发现问题
注8: 将下载并执行2k.exe(木马下载器),木马下载器将下载并执行9.80.exe(已不能下载,状态未知)
D: 反查hxxp://www.91key.com,仍发现被放置隐含的危险链接,将链接到下列非安全站点
D1: hxxp://xuedaiyuan.91i.net/icyfox.htm
D2: hxxp://lymumu.5151j.net/ll.htm (注9)
注9: 仍然会链接到其他非安全页面,但不是其他站点,即范围仍在hxxp://lymumu.5151j.net内,这里不再详叙。
反查结果如下:
hxxp://www.sanyaidc.com 是某地方信息港,推断此站点被黑
hxxp://www.glit-usa.com 同上,是某企业站点,已被黑,不过大多木马链接均出自此站,怀疑是已被长期被黑(以上两站已发信通知其网管)
hxxp://www.u178.com 首页已经标明了受到黑客攻击并关站。估计是某个人站点被黑,不过在网上找不到任何该网站的信息
hxxp://www.01dy.com 此站很可疑,首页找不到恶意代码,怀疑是与事件主角有关联
hxxp://www.77945.com 是某个人站点,但其论坛真实位置并非是放置恶意代码的BBS目录,怀疑与主角有一定关联
hxxp://www.bigwww.com 是某空间商,相信是购买其空间而放置木马
hxxp://www.5151j.net 像是某空间商的代理,相信与主角也有一定关联。