HTA是HTML Application的缩写,代码跟HTML里面的代码差不多,只不过在本地执行的时候权限稍微高点,而且这个后缀又不常见,于是有些色彩网站就开始打它主意了,因为浏览网页的时候,所有文件都会下载到本地的Internet临时文件夹里面,命名方式大概是在文件后面加个[1]、[2]这种后缀,下午某位狼友表示在浏览某个×网时不慎中奖,那么,来看一下是怎么中的吧……

本文来自www.sacour.cn 转载注明来源

首先,能够很(不)容易的看到页面加载了一个amsex.js,这个js又会加载cpa/load.ico,百思不得其解,这儿加载ico有什么用,Redoce里面双击加载,MZ头,原来是程序的,那用下载器下载回来吧,下回来一看,只有一行作者的签名,根本不是程序,到底是什么?



使用Malzilla读取ico,可以看到该网页的HTTP HEADER:


HTTP/1.1 301 Moved Permanently
Connection: close
Date: Sat, 17 Jul 2010 05:39:12 GMT
Server: Microsoft-IIS/6.0
Location: hxxp://down.cpadown.com:8080/css_dd6c9da4ff371959/load_css.css
Content-Length: 0
Content-Type: text/html
Set-Cookie: ASPSESSIONIDQAADRBAA=EAHMCEJACJJOGNMLDNPKNPFB; path=/
Cache-control: private


HTTP 301?原来是转到了load_css.css,看看Redoce读取了load.ico之后的HTTP HEADER:


Content-Length: 121449
Content-Type: text/plain
Content-Location: hxxp://down.cpadown.com:8080/load.txt?404;http://down.cpadown.com:8080/css_dd6c9da4ff371959/load_css.css
Last-Modified: Fri, 16 Jul 2010 17:59:20 GMT
Accept-Ranges: bytes
ETag: "0cc5c9d1025cb1:2d5"
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
Date: Sat, 17 Jul 2010 05:36:25 GMT

一样的,最终hxxp://down.cpadown.com:8080/load.txt是病毒地址,但是以load_css.css的名义下载的,所以临时文件夹里面临时文件名应该为load_css[1].css。

继续看看网页,在每个×片点击“下载”或者“播放”的时候,都会弹到gh.hta去,这个文件也被HTTP 301了,转移后文件名变成了“☆直接点击运行,播放××电影☆.hta”,相关网页代码如下:

如果执行了这个.hta会怎样呢?notepad打开hta,能看到其实是一个vbscript脚本,直接把execute改成msgbox执行,看到解密后的结果:

大致的意思就是,查找当前目录(那个.hta文件如果直接点了运行的话,当前目录也是在临时文件夹下的)下是否有load_css[1].css,如果有,则复制到c:\setup.exe并运行,然后退出。通过这一系列的动作,病毒就运行起来了。