近来一些网站用一些比较容易搜索到的关键字做为自己的标题,加上虽然跟标题毫不相干但是却相当“诱人”的内容来传播病毒,如昨天发现的一个网站,标题为“AC97声卡驱动下载”,但是内页确是“QVOD视频下载”,指向a.htm,b.htm,c.htm……:



本文来自www.sacour.cn 转载注明来源

但是实际上,这些页面做了一个302重定向,定位到某某站的down.htm页面去了:


HTTP/1.1 302 Found
Date: Sat, 24 Jul 2010 11:49:03 GMT
Server: Apache
Location: hXXp://renrenwang.me/down.htm
Connection: close
Content-Type: text/html; charset=iso-8859-1

你觉得这东西可能一次重定向完吗?又是一次302:


HTTP/1.1 302 Found
Date: Sat, 24 Jul 2010 11:50:19 GMT
Server: Apache
Location: hXXp://c.7toot.cn/code/C_pptv.asp?Userid=114&sid=9427
Connection: close
Content-Type: text/html; charset=iso-8859-1


第三次302:

HTTP/1.1 302 Object moved
Connection: close
Date: Sat, 24 Jul 2010 11:51:19 GMT
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
Location: fXp://lm01:lm01@4s1y07yx2.xz19.com:21000/xzz/19/4/baplay_19_4.exe
Content-Length: 186
Content-Type: text/html
Set-Cookie: kxsoFenleiaaa1149427210%2E22=ok; expires=Sun, 25-Jul-2010 11:51:10 GMT; path=/
Set-Cookie: DownUserID=114; expires=Sun, 25-Jul-2010 11:51:18 GMT; domain=.7toot.cn; path=/
Set-Cookie: DownSUserID=9427; expires=Sun, 25-Jul-2010 11:51:18 GMT; domain=.7toot.cn; path=/
Set-Cookie: ASPSESSIONIDCASBQRCB=MACCCGGBGNNMKEJCBCOFJPOH; path=/
Cache-control: private

xz19.com,熟悉吗?(http://www.sacour.cn/post/264.html),5月24号发的文章,到今天7月24日整整两个月这个网站都还在运作,得益于其域名泛解析(对,是泛解析,所以不用费神去在HOSTS里面屏蔽了),普通HOSTS屏蔽根本没办法奏效,所以它挺过的时间较之于一般网站长了很多。文件动作倒没有怎么变化,所以不重复发了。

回到之前的,xxxy.info是恶意的吗?不是,像是3322.org一样,本身并不是坏人,只不过用它作恶的人多了就……了,看看xxxy.info主页内容:


Free Dynamic DNS 
(免费动态DNS)

Dynamic DNS gives you the ability to redirect your domain name to anywhere at any time.  Why wait(<-By waiting (?))3 days for your ISP to update their DNS records when you can do it yourself, in seconds.  Get your free name now and it will be working within 5 minutes!
(动态DNS给予你在任何时间、任意地点把你的域名重定向的能力。当等了3天,让你的ISP更新了他们的DNS记录后你就可以自己更改DNS记录了,只需要几秒的时间。 赶紧获得免费的域名,它将在5分钟内生效!)

xxxy.info:  If you choose this name from the list below and it exists then you can use it for free. If this name does not show up in the list below then most likely you are seeing this because a Dynamic DNS user has this name pointed to our servers. Go ahead and make yourself comfortable. Today is 7/24/2010.
(xxxy.info: 如果你选择的是下面列表中列出来的域名,那么他们是可以免费使用的。如果不在下面的列表里面而你有看到了这个页面,最可能是一个动态DNS用户把他的域名指向了我们的服务器。继续安心浏览吧。今天是2010年7月24日。)



http://zh.wikipedia.org/zh-cn/%E5%8B%95%E6%85%8BDNS  <--是这个吗?)

这种方式实现起来最有吸引力的就是不用注册域名,不用花钱,而国内挂马也出现了很多利用3322.org、6600.org、2288.net之类的动态域名的实例,估计以后挂马者的域名会逐步向这种方向发展吧,以下是仅仅一个页面内发现的链接:


icbc.lse.www1.biz
cfca.lfr.toythieves.com
bee.dgw.ftpserver.biz
cdih.nds.ns01.us
fecg.rfs.mrbonus.com
abdjc.dmr.ftp1.biz
bgae.vch.longmusic.com
deei.hys.jungleheart.com
baeb.myd.myz.info
hhcg.hrf.itemdb.com
bafc.ife.sendsmtp.com
aafag.lgs.toh.info
egfd.vbs.lflink.com
adfi.vbx.lflinkup.com
fhfj.mya.ninth.biz
fdag.lse.www1.biz
dhje.iwy.squirly.info
dhbb.dmr.ftp1.biz
djjd.etf.myftp.info
bfae.nsc.ns02.us
ajcga.vch.longmusic.com
cccj.ehv.myftp.name
ajghj.ver.lflinkup.org
abaci.knr.otzo.com
dbfc.pzy.sellclassics.com
aajci.rdv.moneyhome.biz
gehh.pps.qpoe.com
fejj.hfd.instanthq.com
abcad.myb.mysecondarydns.com
feef.pzy.sellclassics.com
aagjg.wav.xxxy.info