endurer 原创
2007-01-08 第1版
网页的内容为JavaScript脚本,分为三个部分:
第1部分 是注释:
/---------
/*GW]22Y!9YZbYvwYvA]+Tuv*Y{y]{ uw]{y]y!]F u*uGf]F*YG]vlY Z]vAY*uGR]{cYTG]Tbu{*uG+Y+Z]+Tu&9]yTu +uvR]GW]F*]F!Y&z]+ou su{GuGGu{{]y2uv]1uvf]Ff]y2Yy]*/execScript/* y]+2YXR]*fu*Zuc0Ylc]X*u*T]y+u!9u!z]G2]F*]F Y&G]{fuG*/
---------/
第2部分 是用(" 和 ") 括起来的可执行代码:
/---------
("/43/100/176/……/157/144/145")
---------/
中间的代码我省略了,可以看到这里使用了转义字符。
第3部分 还是注释:
/---------
/*lfuvXuvA]vW]Z9]ZbYvG]9uv2uFuvfuX]2fu +]{fuG]+0]+sY{2]G*Yy2YvlYF%Y+*u u!GY!z]{&uvXYFc]yT]Wv]+oYG2]y!Y&9Yy!YvWYv+]+3uv&Y{y]*u8]{W]+*]+su uv)]+*Y*/
---------/
由于第2部分可执行代码包含了转义字符,所以最简单办法就是断开网络连接,然后让网页执行一次……
执后的结果是:
/---------
#@~^lwwAAA==[Km;s+YRS……vb*hGcCAA==^#~@JScript.Encode
---------/
中间的代码我省略了。
看到开头的字符,经常弄网页代码的朋友应该会想到encode(),而最后的JScript.Encode也暴露了目标。
用JScript.decode来解码……
【推荐】在线网页脚本代码加密和解密
http://endurer.bokee.com/2047776.html
OK,出来了!
/---------
document.write(unescape('%3C%53%43%52……%54%3E'))
---------/
让它再执行一次,得到一段VBScript脚本,功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 从某网站下载文件 fics/fics.exe,保存为 %temp%/svhost.exe,并利用Shell.Application 对象QQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQ 的 ShellExecute 方法 来运行。
/---------
文件说明符 : D:/test/fics.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-1-8 14:59:58
修改时间 : 2007-1-8 14:59:59
访问时间 : 2007-1-8 15:45:13
大小 : 41984 字节 41.0 KB
MD5 : 23c572893d8ad2f929a8d4b12be37f5f
---------/
Kaspersky 报为 Trojan-Downloader.Win32.Delf.ajm。
这个病毒以前遇到过,如:
一个被加入下载木马Trojan-Downloader.Win32.Delf.ajm的网站
http://endurer.bokee.com/5932854.html
http://blog.csdn.net/Purpleendurer/archive/2006/12/07/1434118.aspx
http://blogone.net/user50/endurer/blog/48105243.html