endurer 原创
2007-03-13 第1版
QQ接到如下信息:
/---
刚发现的一个免费在线电影站,大量的激情N级片哦,观看速度还挺快的!
---/
首页包含代码:
/---
<iframe src.html" width="0" height="0" frameborder="0"></iframe>
---/
包含有使用 CryptHTML XP(Unregistered Version) 加密的JavaScript脚本代码。
解密后的内容包含一段JavaScript脚本代码和一段VBScript脚本代码。
JavaScript脚本代码为:
/---
wC96=2956;if(document.all){function _dm(){return false};function _mdm(){document.oncontextmenu=_dm;setTimeout("_mdm()",800)};_mdm();}document.oncontextmenu=new Function("return false");function _ndm(e){if(document.layers||window.sidebar){if(e.which!=1)return false;}};if(document.layers){document.captureEvents(Event.MOUSEDOWN);document.onmousedown=_ndm;}else{document.onmouseup=_ndm;};vP56=4099;cX26=958;function _dds(){if(document.all){document.onselectstart=function (){return false};setTimeout("_dds()",700)}};_dds();aK86=2101;cO98=7242;tY3=100;eR10=2383;eX7=8673;;_licensed_to_="";
---/
主要功能是定义了一些的变量并赋值,同时禁用鼠标右键。
VBScript脚本代码中的变量uurl的值已暴露了所要下载的恶意文件的URL为另一网站上的i.exe。
但其具体的下载和运行方法保存在变量S中。
变量S的值由代码
/---
D=""
DO WHILE LEN(S)>1
k="&H"+LEFT(S,2)
p=CLng(k)
m=chr(p)
D=D&m
S=MID(S,3)
LOOP
---/
来解密。
解密出来的S的值为一段VBScript脚本代码,功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 i.exe,保存为 %temp%/pe.exe,创建内容为:Shell.ShellExecute """+%temp%/pe.exe+""","""","""",""open"",0"的文件pe.vbs,并用Q.ShellExecute来执行,从而运行pe.exe。
并利用Shell.Application 对象Q 的 ShellExecute 方法 来运行。
文件说明符 : d:/test/i.exe
属性 : A---
语言 : 英语(美国)
文件版本 : 5.2.3790.1830
说明 : ASN.2 Runtime APIs
版权 : (C) Microsoft Corporation. All rights reserved.
备注 :
产品版本 : 5.2.3790.1830
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2007-3-12 22:46:57
修改时间 : 2007-3-12 22:46:58
访问时间 : 2007-3-12 0:0:0
大小 : 19498 字节 19.42 KB
MD5 : 4d6df04ad8aaaa7537a9253b563b2d35
居然冒充微软的文件……
Scanned file: i.exe - Infected |
i.exe - infected by Backdoor.Win32.Agent.ahj Statistics: |
Known viruses: |
280806 |
Updated: |
12-03-2007 |
File size (Kb): |
20 |
Virus bodies: |
1 |
Files: |
1 |
Warnings: |
0 |
Archives: |
0 |
Suspicious: |
0 |