再次看到有网友反映网站被放WMF网页木马的案例,小陌特此提醒!
这次被放WMF网页木马的网站为——“模特在线”(tpmmbt.com)
在网页的尾部被人加入了三段恶意网址:
1. h**p://www.qmfgdj.com/50841250/jpg.htm
会打开h**p://www.qmfgdj.com/50841250/exploit.wmf,大小21,117 字节,是利用MS06-001漏洞的WMF文件,会自动下载h**p://www.cy3g.com.cn/text/1.exe,大小58,880 字节,AVP暂时不报。
2. h**p://www.cy3g.com.cn/text/index.htm
会打开h**p://www.cy3g.com.cn/text/wocao.ocx的插件。
3. h**p://www.cy3g.com.cn/text/new.htm
下载h**p://www.cy3g.com.cn/text/help.txt,是个chm文档,大小44,394 字节,释放3321.exe,大小58,880 字节,同1.exe。
2006.1.23 18:45更新:
AVP最新库已经可以查杀1.exe和3321.exe,命名为Trojan-Downloader.Win32.Small.cgj
你可以使用这个链接引用该篇文章 http://publishblog.blogchina.com/blog/tb.b?diaryID=4274986