一个被加入自动下载灰鸽子的代码的网站

最新推荐文章于 2024-01-06 02:48:56 发布
最新推荐文章于 2024-01-06 02:48:56 发布
阅读量1.9k 收藏
点赞数
分类专栏: 史海钩沉 文章标签: vbscript bbs iframe 加密 脚本 c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Purpleendurer/article/details/1475614
版权
本文分析了一个网站主页被植入恶意VBScript的情况。该脚本分为两部分,第一部分利用Microsoft.XMLHTTP和FileSystemObject下载并保存了一个可疑文件gz.exe;第二部分执行了加密后的代码,疑似用于绕过特定安全软件的检测。
摘要由CSDN通过智能技术生成

endurer 原创

2007-01-06 第1

网站首页被加入<iframe>代码,引入网页 he1p.html。

he1p.html 的内容为填入多余空格的VBScript脚本代码,分为两个部分。

第1部分

功能为:利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 01.exe,保存为C:/windows/gz.exe。

01.exe  采用 nSPack 1.3 -> North Star/Liu Xing Ping 加壳。
/-------
文件说明符 : d:/test/01.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-1-6 14:3:55
修改时间 : 2007-1-6 14:4:2
访问时间 : 2007-1-6 0:0:0
大小 : 367964 字节 359.348 KB
MD5 : 4e17e67f6ced5abf7a83b603c9344fe6
-------/
瑞星 19.04.42 和 Kaspersky在线文件扫描均无反应。

 

第2部分:

使用execute方法执行自定义函数 rechange() 加密的代码:
/-------
MircoLonge.ShellExecute MircoLong10,BBS,BBS,"open",0
-------/ 

估计是用来绕过瑞星卡卡的~

紫郢剑侠
关注
专栏目录
远程控制木马"偷窥者"的源代码 - -兰大开源社区blog
xu的blog
10-09 7925
导读: 刘东发(http://www.codelive.net)的杰作--------远程控制木马"偷窥者"VC6.0编译通过。2001年是中国的木马大丰收的一年.  首先是灰鸽子的诞生.灰鸽子早期版本开放源代码灰鸽子的作者葛军(俺安徽的老乡,呵呵可不是拉关系),开始还倒不错,开放了源代码,后来功能齐全后,葛军开始翻脸了,不但不公开源代码,还收费.灰鸽子是delphi版的,本人愚
《信息安全技术》实验四 木马及远程控制技术
axhc_chentao1981的博客
11-27 2412
《信息安全技术》实验四 木马及远程控制技术 实验目的 剖析网页木马的工作原理 理解木马的植入过程 学会编写简单的网页木马脚本 通过分析监控信息实现手动删除木马 实验内容 木马生成与植入 利用木马实现远程控制 木马的删除 实验人数 每组2人,本组为20155314 20155304 实验环境 系统环境 Windows Server 2003虚拟机 网络环境 交换网络结构...
网站挂马分析
09-11
快速便捷分析挂马网站,你的分析助手。使用方便易懂。
一次网站挂马的分析
weixin_34221775的博客
03-29 1128
我是一个切图仔,日常的开发也不会涉及太多网络安全相关的东西.今天这篇博客完全是一个巧合,下面就听我细细道来. 起因 说起来也很好玩,起因是群里一个网友说看到一个动画(其实就是一个焦点图),想要参(fu)考(zhi)一下.我本身是没什么兴趣的,毕竟这对我而言不是什么问题了.但我还是点进去看了一下,出于职业习惯,我打开控制台看了一下,结果在文件头部发现了这么一个东西. 上面这段代码成功的引起了我的...
网站挂马扫描分析器MScaner v0.3
09-06
网站挂马扫描分析器MScaner v0.3 仅供参考。
网站被挂马的真正原因及挂马原理分析
好好学习,天天向上。
12-14 3380
<br />什么是ARP<br />   地址解析协议(Address Resolution Protocol,ARP)是在仅知道主机的IP地址时确定其物理地址的一种协议。因IPv4和以太网的广泛应用,其主要用作将IP地址翻译为以太网的MAC地址,但其也能在ATM和FDDIIP网络中使用。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址。<br />   假设:
一个自动下载灰鸽子网站
Purpleendurer@CSDN
05-04 2687
endurer 原创2006-05-04 第1版某网站加入:  <iframe src="hxxp://95762.***512j.com/" width="0" height="0">   hxxp://95762.***512j.com/index的内容为:  <iframe src="hxxp://www.***kkkshop.com
Leetcode各种题型题目+思路+代码(共176道题)
JJJJJJames的博客
03-09 9858
1、Leetcode-1047 题目描述: 题目思路: 使用stack的思路,先把字符串的第一个字母压栈,然后判断下一个待压栈的字母是否与stack[-1]的字母相同,如果相同,该字母不进入stack中,且stack.pop()将重复的字母剔除。如此遍历一遍字符串,最后返回stack中的元素即为消除重复字后的字符串。 举例:“abbaca” 建立栈 把a压栈 b与a不相同,压栈 第二个b和stack栈口元素相同,不要第二个b且把栈扣的b pop掉。 第四个元素:a,此时stack中还有一个元素a,相同,
网络安全-攻击篇-攻击载体
最新发布
qq_53439698的博客
01-06 1976
随着网络的安全事态不断演变、新的威胁不断出现,从而也萌生了形式多样的网络攻击手段。网络安全攻击是指针对计算机信息系统、基础设施、计算机网络或个人计算机设备的任何类型的进攻动作。这些攻击可能会破坏网络系统运行的安全、信息内容的安全、信息通信与传播安全,使计算机或网络系统中的数据被篡改、窃取或丢失,导致严重的安全后果。网络安全攻击通常由黑客或其他恶意行为者发起,他们利用各种技术手段和漏洞来实施攻击,以获得非法利益或造成损害。
python中文语料分词处理,按字或者词cut_sentence
热门推荐
高颜值的杀生丸(此博客转载自我的博客园)
02-19 2万+
cut_sentence.py import string import jieba import jieba.posseg as psg import logging #关闭jieba日制 jieba.setLogLevel(logging.INFO) jieba.load_userdict("./corpus/keywords.txt") stopwords_path = "....
操作123456
qq_65648226的博客
04-28 3658
1.拼音缩写函数 DELIMITER $$ USE `mpos`$$ CREATE FUNCTION `mysql`.`pysx`( wz VARCHAR(20)) RETURNS VARCHAR(20) CHARSET utf8 BEGIN SET @i=1; SET @mcsx=''; SET @len=CHAR_LENGTH(wz); WHILE(@i<=@len) DO S...
鸽子灰鸽子源码_鸽子
cuyi7076的博客
06-28 1066
对你而言我是谁? 我最近在为笔记本电脑定价。 我听说过有关一家主要公司的笔记本电脑的好消息,所以我想我可以通过他们的在线商店来看看。 商店问我的第一件事是我是哪种类型的客户。 我的回答选项包括家庭和家庭办公室 , 小型企业和中型和大型企业 。 我冻结了 我是什么? 我是只想要一台笔记本电脑(家庭和家庭办公室)的人,还是中型和大型企业的雇员? 产品线和价格是否相同? 如果我想购买公司...
灰鸽子病毒手工清除方法[多图]
tgw2000的专栏
01-20 5733
灰鸽子(Backdoor.Huigezi)作者现在还没有停止对灰鸽子的开发,再加上有些人为了避开杀毒软件的查杀故意给灰鸽子加上各种不同的壳,造成现在网络上不断有新的灰鸽子变种出现。尽管瑞星公司一直在不遗余力地收集最新的灰鸽子样本,但由于变种繁多,还会有一些“漏网之鱼”。如果您的机器出现灰鸽子症状但用瑞星杀毒软件查不到,那很可能是中了还没有被截获的新变种。这个时候,就需要手工杀掉灰鸽子。    手
远程访问型木马——灰鸽子软件的使用(含免杀)
weixin_50464560的博客
06-02 1万+
远程访问型木马——灰鸽子 先来了解下什么是远程访问型木马: 1.它在受害者主机上运行一个服务端,监听某个特定端口;入侵者则使用木马的客户端连接到该端口上,向服务端发送各种指令,访问受害者计算机资源。 2.使用这类木马,只需有人运行了服务端程序,如果客户知道了服务端的IP地址,就可以实现远程控制。 3.这类程序可以实现观察受害者正在干什么。 再来了解下灰鸽子: 1.自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发了安全领域的高度关注。2004年、2005年、2006年,灰鸽
[07-28] 一个下载灰鸽子Backdoor.Gpigeon.2006等病毒的网站(第2版)
caobihole
07-27 457
endurer 原创2006-07-28 第2版 被充杀毒软件的反应2006-07-27 第1版 该网站首页被加入代码:--------------<iframe src=hxxp://duolaa***meng.diy.myrice.com/bushan.htm width=0 height=0 frameborder=0></iframe>-------------- hxxp://duo...
手动清除灰鸽子蠕虫病毒步骤
灰鸽子蠕虫病毒是一种恶意软件,它可能对用户的计算机系统安全构成严重威胁。下面将详细介绍手工清除这种病毒的步骤: 1. 清除灰鸽子的服务: 灰鸽子通常会创建一些伪装成系统服务的恶意进程,如winrpcsrv.exe、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

紫郢剑侠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值