`
caobihole
  • 浏览: 941404 次
文章分类
社区版块
存档分类
最新评论

某广电行业网站被挂马 Backdoor.Win32.Gpigeon.aic/ sx.exe

 
阅读更多

某广电行业网站被挂马 Backdoor.Win32.Gpigeon.aic/ sx.exe

endurer 原创
2007-09-06 第1

网站页面被植入代码:
/---
<iframe src=hxxp://www.h**l*bz.com/x*j***/Dns.htm width=0 height=0>
---/

hxxp://www.h**l*bz.com/x*j***/Dns.htm 包含 JavaScript脚本,首先输出escape编码的信息:
/---
www.CuteQq.cn
ZJWm 6 Beta 3
---/
接着利用 MS06014 漏洞,下载 sx.exe,保存为 %system32%/Cuteqq_Cn.exe,再用 shell.execute来运行。

文件说明符 : d:/test/sx.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-9-5 12:46:20
修改时间 : 2007-9-5 12:46:56
访问时间 : 2007-9-5 0:0:0
大小 : 284672 字节 278.0 KB
MD5 : 2262830c8f7f932cf08ed1a296b2acaa
HSA1: 6F8B603FB869F52960184E843A724677115C0A97

使用的是WMP媒体文件的图标


Kasepersky 报为 Packed.Win32.Klone.af

主 题: 病毒上报邮件分析结果-流水单号:20070905125954073811
发件人: "" <send@rising.net.cn> 发送时间2007.09.05 14:16
尊敬的客户,您好!
您的邮件已经收到,感谢您对瑞星的支持。

我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:sx.exe
病毒名:Backdoor.Win32.Gpigeon.aic

您所上报的病毒文件将在19.39.30版本中处理解决。
分享到:
评论

相关推荐

Global site tag (gtag.js) - Google Analytics