泡泡网首页(http://www.pcpop.com/)以脚本的形式调用http://33.pcpop.com/statistic/js/2265.js写入广告,
此脚本中包含了被挂马的广告页面:http://qa./colorful/103.htm,当引用此广告时页面即受到网页木马
的影响。103.htm页面中以脚本的形式内置了http://qa./colorful/103.js脚本,103.js又包含了http:///down8/we.htm页面。we.htm即为利用MS06017漏洞的页面,此页面又以框架的形式嵌套一个利用暴风影音
漏洞的网页木马和一个用以统计受害者数量的统计页面。
2265.js页面源码截图:
103.JS代码截图:
解密后MS06014网页木马截图:
下载的木马地址为:http:///down8/ii.exe,此木马会链接网络获取http:///down5/dn.txt文件,
并根据其中的地址下载大量的木马并运行。所下木马大部分为Trojan-PSW.Win32.OnLineGames家族的木马。如:
木马程序 Trojan-PSW.Win32.OnLineGames.dpd 文件: 10.exe
木马程序 Trojan-PSW.Win32.QQPass.agd 文件: 1.exe
木马程序 Trojan-PSW.Win32.OnLineGames.efn 文件: 2.exe
木马程序 Trojan-PSW.Win32.OnLineGames.dzp 文件: 5.exe
木马程序 Trojan-PSW.Win32.OnLineGames.ecl 文件: 6.exe
木马程序 Trojan-PSW.Win32.OnLineGames.dzz 文件: 7.exe
木马程序 Trojan-PSW.Win32.OnLineGames.ebf 文件: 8.exe
木马程序 Trojan-PSW.Win32.OnLineGames.edv 文件: 9.exe
木马程序 Trojan-PSW.Win32.OnLineGames.eeh 文件: 91.exe
木马程序 Trojan-Spy.Win32.Delf.akg 文件: ii.exe
以上木马运行后将监视用户系统,窃取用户的QQ账号/网游账号等。其中一部分木马做了免杀处理以逃避杀毒软件的查杀。