endurer 原创
2006-10-01 第
1版
QQ自动发送的信息为:
/-------
hxxp://d***dkill.chaoku***ai.com/12***3.html这里有我的照片欢迎大家来捧下场!谢谢啊
-------/
点击打开hxxp://d***dkill.chaoku***ai.com/12***3.html后,会打开标题为:Oh,my god! Goldsun[at]84823714,内容为:You DO it! 的网页。
但在显示这些信息之前,该网页已经先执行了一段用自定义函数UnEncode()加密的VBScript脚本代码(代码中嵌入了多个“琳”字,难道是个MM?^_^),其功能是利用 Adodb.Stream、Microsoft.XMLHTTP 和 Scripting.FileSystemObject 把 hxxp://d***dkill.chaoku***ai.com/12***3.exe 保存为 %temp%/g0ld.com,并利用Shell.Application 对象 的 ShellExecute 方法来运行。
从文件名上看,很可能是蠕虫维金/Worm.Viking,不过由于hxxp://d***dkill.chaoku***ai.com/12***3.exe这个URL失效,无法下载文件作进一步分析。
