近日，安天CERT發(fā)現(xiàn)大量網(wǎng)站感染惡意代碼，經(jīng)分析發(fā)現(xiàn)，這是由感染EXE、DLL、HTML文件的感染式病毒Virus/Win32.Nimnul.a引起的。這個(gè)感染式病毒感染系統(tǒng)中的HTML文件，感染后的HTML被安天檢測(cè)為：Trojan[Dropper]/VBS.Agent.b。如果受感染系統(tǒng)是網(wǎng)站服務(wù)器，其網(wǎng)頁都將被該病毒感染；同時(shí)，訪問了該網(wǎng)頁的用戶也有可能被該病毒感染，這也是大量網(wǎng)站被感染的一個(gè)原因。

       被分析的樣本為感染式病毒，運(yùn)行后會(huì)感染本地可執(zhí)行程序（EXE、DLL），會(huì)感染全盤的網(wǎng)頁文件（HTML、HTM），將自身寫入到它們內(nèi)部，當(dāng)運(yùn)行可執(zhí)行程序或加載網(wǎng)頁文件時(shí)，都會(huì)運(yùn)行該病毒。該樣本是在正常程序的尾部添加新的節(jié).rmnet，將程序入口點(diǎn)修改到新增加的節(jié)中，通過這種方式進(jìn)行感染可執(zhí)行程序。

       該樣本感染是通過在正常網(wǎng)頁文件中寫入一段VBScript腳本來實(shí)現(xiàn)的。這段腳本的功能是將WriteData這段內(nèi)容轉(zhuǎn)為二進(jìn)制，保存為svchost.exe文件，存放到Temp目錄下，并調(diào)用該程序執(zhí)行。使用IE打開被感染的HTML文件，會(huì)彈出IE保護(hù)信息欄，點(diǎn)擊允許之后，再次彈出安全警告是否允許活動(dòng)的內(nèi)容，點(diǎn)擊是之后，會(huì)彈出警告窗口，是否允許這種交互，點(diǎn)擊是，此時(shí)，在Temp文件夾下就會(huì)釋放出svchost.exe了。所以被感染的系統(tǒng)都會(huì)訪問這個(gè)已經(jīng)失效的域名：fget-career.com。

       Virus/Win32.Nimnul家族樣本在安天病毒庫中共有227萬多的HASH，最早發(fā)現(xiàn)時(shí)間是2010年9月7日。據(jù)安天CERT統(tǒng)計(jì)，三天內(nèi)有178個(gè)國內(nèi)網(wǎng)站感染該病毒。因?yàn)樵摳腥臼讲《靖腥揪W(wǎng)頁文件，并可以通過網(wǎng)站傳播，所以安天CERT預(yù)測(cè)國內(nèi)仍會(huì)有大量網(wǎng)站繼續(xù)感染此病毒。