一个下载Trojan-Downloader.Win32.Delf.ajm，技术比较新奇的网页

endurer 原创

2007-01-08 第1版

网页的内容为JavaScript脚本，分为三个部分：

第1部分 是注释：
/---------
/*GW]22Y!9YZbYvwYvA]+Tuv*Y{y]{ uw]{y]y!]F u*uGf]F*YG]vlY Z]vAY*uGR]{cYTG]Tbu{*uG+Y+Z]+Tu&9]yTu +uvR]GW]F*]F!Y&z]+ou su{GuGGu{{]y2uv]1uvf]Ff]y2Yy]*/execScript/* y]+2YXR]*fu*Zuc0Ylc]X*u*T]y+u!9u!z]G2]F*]F Y&G]{fuG*/
---------/

第2部分 是用(" 和 ") 括起来的可执行代码：
/---------
("/43/100/176/……/157/144/145")
---------/
中间的代码我省略了，可以看到这里使用了转义字符。

第3部分 还是注释：
/---------
/*lfuvXuvA]vW]Z9]ZbYvG]9uv2uFuvfuX]2fu +]{fuG]+0]+sY{2]G*Yy2YvlYF%Y+*u u!GY!z]{&uvXYFc]yT]Wv]+oYG2]y!Y&9Yy!YvWYv+]+3uv&Y{y]*u8]{W]+*]+su uv)]+*Y*/
---------/

由于第2部分可执行代码包含了转义字符，所以最简单办法就是断开网络连接，然后让网页执行一次……

执后的结果是：
/---------
#@~^lwwAAA==[Km;s+YRS……vb*hGcCAA==^#~@JScript.Encode
---------/
中间的代码我省略了。

看到开头的字符，经常弄网页代码的朋友应该会想到encode()，而最后的JScript.Encode也暴露了目标。

用JScript.decode来解码……

【推荐】在线网页脚本代码加密和解密
http://endurer.bokee.com/2047776.html

OK，出来了！
/---------
document.write(unescape('%3C%53%43%52……%54%3E'))
---------/

让它再执行一次，得到一段VBScript脚本，功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 从某网站下载文件 fics/fics.exe，保存为 %temp%/svhost.exe，并利用Shell.Application 对象QQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQ 的 ShellExecute 方法 来运行。

/---------
文件说明符 : D:/test/fics.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-1-8 14:59:58
修改时间 : 2007-1-8 14:59:59
访问时间 : 2007-1-8 15:45:13
大小 : 41984 字节 41.0 KB
MD5 : 23c572893d8ad2f929a8d4b12be37f5f
---------/
Kaspersky 报为 Trojan-Downloader.Win32.Delf.ajm。

这个病毒以前遇到过，如：

一个被加入下载木马Trojan-Downloader.Win32.Delf.ajm的网站
http://endurer.bokee.com/5932854.html
http://blog.csdn.net/Purpleendurer/archive/2006/12/07/1434118.aspx
http://blogone.net/user50/endurer/blog/48105243.html