微软学生中心被插入恶意代码

九尾野狐

微软学生中心 （http://www.msuniversity.edu.cn/s ... tterCollection.html）被植入恶意代码

用户访问该页面将可能被安装木马病毒等恶意程序 可以导致电脑被黑客控制并且被窃取敏感信息

网页被嵌入恶意链接代码：


iframe src=hXXp://www.ppppb.com.cn/aa/mm01.htm
iframe src=hXXp://ads.20-14.cn/ad/tj.htm

----------------



最终下载病毒文件
hXXp://www.pppph.com.cn/www.exe

328397663

原帖由 九尾野狐 于 2009-5-5 15:57 发表
微软学生中心 （http://www.msuniversity.edu.cn/static/newsLetter/NewsletterCollection/NewsletterCollection.html）被植入恶意代码

用户访问该页面将可能被安装木马病毒等恶意程序 可以导致电脑被黑客控制并且 ...

Scanned file:   www.exe - Infected www.exe - infected by Worm.Win32.AutoRun.afmz Statistics: Known viruses: 2133601 Updated: 05-05-2009 File size (Kb): 53 Virus bodies: 1 Files: 1 Warnings: 0 Archives: 0 Suspicious: 0

又是CN域名............
现在国外N多空间都不让绑定了......
都是这群混蛋搞得

雨宫优子

关于:hxxp://www.msuniversity.edu.cn/static/newsletter/newslettercollection/newslettercollection.html解密的日志(全体输出-  41):

Level  0>http://www.msuniversity.edu.cn/static/newsletter/newslettercollection/newslettercollection.html
Level  1>http://%61%64%73%2e%32%30%2d%31%32%2e%63%6e/ad/ad.js?id=r
Level  2>http://ads.20-14.cn/ad/tj.htm
Level  2>http://www.ppppb.com.cn/aa/mm01.htm
Level  3>http://www.ppppb.com.cn/aa/index.htm
Level  4>http://www.ppppb.com.cn/aa/office.htm
Level  5>http://www.ppppb.com.cn/aa/office.js
Level  6>http://www.pppph.com.cn/www.exe  ●
Level  4>http://www.ppppb.com.cn/aa/lz.htm
Level  5>http://www.ppppb.com.cn/aa/lz.js
Level  6>http://www.pppph.com.cn/www.exe  ●
Level  4>http://www.ppppb.com.cn/aa/02.htm
Level  5>http://www.ppppb.com.cn/aa/set.js
Level  6>http://www.pppph.com.cn/www.exe  ●
Level  4>http://www.ppppb.com.cn/aa/ip.htm
Level  5>http://www.ppppb.com.cn/aa/bf.htm
Level  6>http://www.ppppb.com.cn/aa/bf.js
Level  7>http://www.pppph.com.cn/www.exe  ●
Level  4>http://www.ppppb.com.cn/aa/ippp.htm
Level  5>http://www.pppph.com.cn/www.exe  ●
Level  4>http://www.ppppb.com.cn/aa/qb.htm
Level  5>http://www.ppppb.com.cn/aa/qb.js
Level  6>http://www.pppph.com.cn/www.exe  ●
Level  4>http://www.ppppb.com.cn/aa/flash.htm
Level  5>http://www.ppppb.com.cn/aa/fgg.html
Level  6>http://www.ppppb.com.cn/aa/f115.swf  ●
Level  6>http://www.ppppb.com.cn/aa/f64.swf  ●
Level  6>http://www.ppppb.com.cn/aa/f47.swf  ●
Level  6>http://www.ppppb.com.cn/aa/f45.swf  ●
Level  6>http://www.ppppb.com.cn/aa/f28.swf  ●
Level  6>http://www.ppppb.com.cn/aa/f16.swf  ●
Level  5>http://www.ppppb.com.cn/aa/igg.html
Level  6>http://www.ppppb.com.cn/aa/i115.swf  ●
Level  6>http://www.ppppb.com.cn/aa/i64.swf  ●
Level  6>http://www.ppppb.com.cn/aa/i47.swf  ●
Level  6>http://www.ppppb.com.cn/aa/i45.swf  ●
Level  6>http://www.ppppb.com.cn/aa/i28.swf  ●
Level  6>http://www.ppppb.com.cn/aa/i16.swf  ●
Level  4>http://www.ppppb.com.cn/aa/yy.htm
Level  5>http://www.ppppb.com.cn/aa/14.js
Level  6>http://www.pppph.com.cn/www.exe  ●

Log by aarwwefdds(加点为真实下载木马程序，SWF除外)

sam.to

www.pppph.com.cn
打开不到

328397663

原帖由 aarwwefdds 于 2009-5-5 16:56 发表
关于:hxxp://www.msuniversity.edu.cn/static/newsletter/newslettercollection/newslettercollection.html解密的日志(全体输出-  41):

Level  0>http://www.msuniversity.edu.cn/static/newsletter/newsletterco ...

Scanned file:   swf.zip - Infected swf.zip/f115.swf - infected by Exploit.SWF.Downloader.my swf.zip/f16.swf - infected by Exploit.SWF.Downloader.my swf.zip/f28.swf - infected by Exploit.SWF.Downloader.my swf.zip/f45.swf - infected by Exploit.SWF.Downloader.my swf.zip/f47.swf - infected by Exploit.SWF.Downloader.my swf.zip/f64.swf - infected by Exploit.SWF.Downloader.my swf.zip/i115.swf - infected by Exploit.SWF.Downloader.my swf.zip/i16.swf - infected by Exploit.SWF.Downloader.my swf.zip/i28.swf - infected by Exploit.SWF.Downloader.my swf.zip/i45.swf - infected by Exploit.SWF.Downloader.my swf.zip/i47.swf - infected by Exploit.SWF.Downloader.my swf.zip/i64.swf - infected by Exploit.SWF.Downloader.my Statistics: Known viruses: 2133773 Updated: 05-05-2009 File size (Kb): 22 Virus bodies: 12 Files: 12 Warnings: 0 Archives: 1 Suspicious: 0

sam.to

KL:
Hello,

URLs were added to the blacklist.

Thanks!