网易等知名网站被挂巨量毒

8010

晚上上网，打开网易、天涯等知名网站，小红伞疯狂报毒，随便选了一个上传到多引擎，64%报毒，一开始还真以为红伞误报呢。
VirSCAN.org Scanned Report :
Scanned time   : 2008/03/12 01:33:18 (CST)
Scanner results: 64%的杀软(23/36)报告发现病毒
File Name      : lz[1].rar
File Size      : 1436 byte
File Type      : RAR archive data, v1d, os
MD5            : 2adadacab0cf30ae2d9ab198b00f4b0c
SHA1           : 7994fbde452f529eab36d18ddaed85280cf8ae34
Online report  : http://virscan.org/report/fbac343fb27254556bc0bc417a72f71f.html
Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
a-squared      3.0.0.126       2008.03.10        2008-03-10  4.38   -
安博士V3       2008.03.11.02   2008.03.11        2008-03-11  1.01   -
AntiVir        7.6.0.73        7.0.3.17          2008-03-11  2.42   HTML/Shellcode.Gen
Arcavir        1.0.4           200803111119      2008-03-11  1.52   -
AVAST          1.0.8           080311-0          2008-03-11  3.06   -
AVG            7.5.51.442      269.21.7/1325     2008-03-11  2.69   JS/Downloader.Agent
BitDefender    7.60825.986703  7.17958           2008-03-12  5.20   Exploit.HTML.Agent.AD
CA (VET)       9.0.0.143       31.3.5607         2008-03-11  8.30   JS/Veemyfull!exploit trojan.
ClamAV         0.92            6200              2008-03-11  0.02   JS.Dropper-33
Comodo         2.11            2.0.0.461         2008-03-11  0.79   -
CP Secure      1.1.0.715       2008.03.11        2008-03-11  6.65   Troj.Spy.JS.Statistic.a
Dr.WEB         4.44.0.9170     2008.03.11        2008-03-11  4.45   Trojan.DownLoader.37347
ewido          4.0.0.2         2008.03.11        2008-03-11  2.34   Not-A-Virus.Exploit.HTML.IframeBof
F-PROT         4.4.1.52        20080310          2008-03-10  2.31   HTML/IFrameBoF (exact)
F-SECURE       5.51.6100       2008.03.11.06     2008-03-11  0.03   HTML/IFrameBoF [Libra]
飞塔           2.81-3.11       8.830             2008-03-11  2.08   -
ViRobot        20080311        2008.03.11        2008-03-11  0.40   -
IKARUS         T3.1.01.20      2008.03.10.70432  2008-03-10  2.04   Exploit.HTML.IframeBof
江民杀毒       10.00.650       2008.03.10        2008-03-10  1.30   Exploit.HTML.IframeBof.m
卡巴斯基       5.5.10          2008.03.11        2008-03-11  5.61   Exploit.JS.Agent.fz
金山毒霸       2007.6.20.249   2008.3.11         2008-03-11  0.72   -
迈克菲         5.2.00          5249              2008-03-11  1.80   JS/Exploit-BO.gen
Microsoft      1.3301          2008.03.11        2008-03-11  6.64   Exploit:Win32/Senglot.N
MKS_VIR        2.01            2008.03.11        2008-03-11  2.80   -
NORMAN         5.91.10         5.90              2008-03-10  4.92   HTML/IFrameBof.A
熊猫卫士       9.04.03.0001    2008.03.10        2008-03-10  2.52   -
趋势           8.500-1001      5.154.09          2008-03-11  0.04   EXPL_EXECOD.A
Prevx          V2              20080312          2008-03-12  6.09   -
QuickHeal      9.00            2008.03.11        2008-03-11  1.92   -
瑞星           20.0            20.35.12.00       2008-03-11  0.82   Trojan.DL.Script.JS.Agent.mej
SOPHOS         2.71.3          4.27              2008-03-10  2.84   Mal/JSShell-B
赛门铁克       1.3.0.24        20080311.002      2008-03-11  0.21   -
nProtect       2008-03-11.00   1198953           2008-03-11  5.03   Exploit.HTML.Agent.AD
The Hacker     6.2.92          v00240            2008-03-10  0.73   JS/IE.Exploit
VBA32          3.12.6.2        20080311.0017     2008-03-11  0.91   Exploit.HTML.Ashell.a
VirusBuster    4.3.19:9        9.123.6/11.0      2008-03-10  1.14   JS.Iframebof.U

SONGBOWEN

天啊，不会吧？
163被挂了？！

SONGBOWEN

发现这么一个东西：http://163.wrating.com/a1.js

var vjAcc="";var wrUrl="http://c.wrating.com/";var wrDomain="";var wrSv=1000000;document.write('<div style="display:none"><img id="wrTagImage" width="1" height="1" /></div>');function vjTrack(jsParam){var b=1800;var c=false;var d=false;var e="";var f="0";var g="";var h;var i;var j;var k;var l;var m="expires=Fri, 1 Jan 2038 00:00:00 GMT;";var n=0;if(document.location.protocol=="file:")return;c=navigator.cookieEnabled?"1":"0";d=navigator.javaEnabled()?"1":"0";var o="0";var p;var r=-1;var q=document.cookie;if(wrDomain==""){var dmEle=document.domain.split(".");var dmEleLen = dmEle.length;var tmpDm = dmEle[dmEleLen-2]+"."+dmEle[dmEleLen-1];if (tmpDm == "com.cn" || tmpDm == "net.cn" || tmpDm == "org.cn" || tmpDm == "gov.cn"){ wrDomain =  dmEle[dmEleLen-3]+"."+dmEle[dmEleLen-2]+"."+dmEle[dmEleLen-1];}else if (dmEle[dmEleLen-1] == "cn" || dmEle[dmEleLen-1] == "com" || dmEle[dmEleLen-1] == "net" || dmEle[dmEleLen-1] == "gov" || dmEle[dmEleLen-1] == "org"){wrDomain=dmEle[dmEleLen-2]+"."+dmEle[dmEleLen-1];}else{wrDomain=document.domain;}}if(c=="1"){r=q.indexOf("vjuids=");if(r<0){p=vjVisitorID();document.cookie="vjuids="+escape(p)+";"+m+";domain="+wrDomain+";path=/;";if(document.cookie.indexOf("vjuids=")<0)c="0";else{ c="1";f="1";}}else{p=vjGetCookie("vjuids");}};i=document.referrer;if(!i||i==""){var nv=navigator.appName+" "+navigator.appVersion;if((nv.indexOf('MSIE')>=0)&&(parseInt(nv.substr(nv.indexOf('MSIE')+5))>=5)&&(nv.indexOf('Mac')==-1)&&(navigator.userAgent.indexOf('Opera')==-1)){document.body.addBehavior("#default#homePage");i=(document.body.isHomePage(location.href))?"ishomepage":"";}};e=vjFlash();if(self.screen){h=screen.width+"x"+screen.height+"x"+screen.colorDepth;}else if(self.java){var t=java.awt.Toolkit.getDefaultToolkit();var s=t.getScreenSize();h=s.width+"x"+s.height+"x0";};if(navigator.language){j=navigator.language.toLowerCase();}else if(navigator.browserLanguage){j=navigator.browserLanguage.toLowerCase();}else{j="-";};var u;var curtime;curtime=new Date();k=curtime.getTimezoneOffset()/-60;k=curtime.getTimezoneOffset()/-60;u="&s="+h+"&l="+j+"&z="+k+"&j="+d+"&f="+e;if(c=="1"){r=document.cookie.indexOf("vjlast=");if(r<0){n=0;}else{n=parseInt(vjGetCookie("vjlast"));};if((curtime.getTime()/1000)-n>b)o="1";document.cookie="vjlast="+Math.round(curtime.getTime()/1000)+";"+m+";domain="+wrDomain+";path=/;";};if(i!=""){u=u+"&r="+escape(i);};if(o!="0"){u=u+"&n="+n;};if(f!="0"){u=u+"&u="+f;};var tagimage;tagimage=wrUrl+"a.gif?a="+curtime.getTime().toString(16)+"&t="+"&i="+escape(p)+"&b="+escape(document.location)+"&c="+vjAcc+u+"&js="+escape(jsParam)+"&ck="+c;var random=Math.round(wrSv*Math.random());if(random == 0){var wrJs='<scr'+'ipt language="JavaScript" type="text/javascript" src="http://www.wrating.com/survey/check.php?c='+vjAcc+'&uid='+escape(p)+'"><\/scr'+'ipt>';document.write(wrJs);}document.getElementById('wrTagImage').src = tagimage;};function vjFlash(){var f="-",n=navigator;if(n.plugins&&n.plugins.length){for(var ii=0;ii<n.plugins.length;ii++){if(n.plugins[ii].name.indexOf('Shockwave Flash')!=-1){f=n.plugins[ii].description.split('Shockwave Flash ')[1];break;}}}else if(window.ActiveXObject){for(var ii=10;ii>=2;ii--){try{var fl=eval("new ActiveXObject('ShockwaveFlash.ShockwaveFlash."+ii+"');");if(fl){f=ii+'.0';break;}}catch(e){}}};return f;};function vjHash(s){if(!s||s=="")return 0;var h=0;for(var i=s.length-1;i>=0;i--){var c=parseInt(s.charCodeAt(i));h=(h<<5)+h+c;};return h;};function vjVisitorID(){var urlhash=vjHash(document.location+document.cookie+document.referrer).toString(16);var curtime;curtime=new Date();return urlhash+"."+curtime.getTime().toString(16)+"."+Math.random().toString(16);};function vjGetCookieVal(offset){var endstr=document.cookie.indexOf(";",offset);if(endstr==-1)endstr=document.cookie.length;return unescape(document.cookie.substring(offset,endstr));};function vjGetCookie(name){var arg=name+"=";var alen=arg.length;var clen=document.cookie.length;var i=0;while(i<clen){var j=i+alen;if(document.cookie.substring(i,j)==arg)return vjGetCookieVal(j);i=document.cookie.indexOf(" ",i)+1;if(i==1)break;};return null;}

SONGBOWEN

还有这玩意：http://163.wrating.com/a.gif?a=&c=860010-0503010000

xuange

啊  上163了 好好的啊

SONGBOWEN

wrating.com的whois查询信息：

Registrant:
         lichen   +86.1058732205
         Dratio Inc.
         10A,A bid,Yingdu Tower,No.48a Zhichunlu Road
         beijing,beijing,CHINA 100098


Domain Name:wrating.com
Record last updated at 2008-01-14 01:41:06
Record created on 2007/4/9
Record expired on 2011/4/9


Domain servers in listed order:
         ns1.forate.cn          ns2.forate.cn

Administrator:
         Name-- lichen
EMail-: ( )
tel --: +86.1058732205
         org: Dratio Inc.
         10A,A bid,Yingdu Tower,No.48a Zhichunlu Road
         beijing,beijing,CHINA 100098

Technical Contactor:
         Name-- lichen
EMail-: ( )
tel --: +86.1058732205
         org: Dratio Inc.
         10A,A bid,Yingdu Tower,No.48a Zhichunlu Road
         beijing,beijing,CHINA 100098

Billing Contactor:
         Name-- lichen
EMail-: ( )
tel --: +86.1058732205
         org: Dratio Inc.
         10A,A bid,Yingdu Tower,No.48a Zhichunlu Road
         beijing,beijing,CHINA 100098






Whois Server Version 2.0

Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.

   Domain Name: WRATING.COM
   Registrar: ONLINENIC, INC.
   Whois Server: whois.35.com
   Referral URL: http://www.OnlineNIC.com
   Name Server: NS1.FORATE.CN
   Name Server: NS2.FORATE.CN
   Status: ok
   Updated Date: 14-jan-2008
   Creation Date: 09-apr-2007
   Expiration Date: 09-apr-2011

>>> Last update of whois database: Tue, 11 Mar 2008 17:46:52 UTC <<<

SONGBOWEN

原帖由 xuange 于 2008-3-12 01:48 发表
啊  上163了 好好的啊

什么浏览器？
如果是IE内核，说明你已经中招了……

PlayWill

费尔进去无反应
DW未见异常

SONGBOWEN

在163首页中，有这么一段代码：

<!-- START WRating v1.0 -->
<script type="text/javascript" src="http://163.wrating.com/a1.js">
</script>
<script type="text/javascript">
var vjAcc="860010-0503010000";
var wrUrl="http://163.wrating.com/";
vjTrack("");
</script>
<noscript><img src="http://163.wrating.com/a.gif?a=&c=860010-0503010000" width="1" height="1"/></noscript>
<!-- END WRating v1.0 -->

没有问题都怪了。。。。

SIGKILL

上次163，ad muncher可以多不少日志。