一个被加入自动下载灰鸽子的代码的网站

endurer原创

2007-01-06 第1版

网站首页被加入＜iframe＞代码，引入网页　he1p.html。

he1p.html　的内容为填入多余空格的VBScript脚本代码，分为两个部分。

第1部分

功能为：利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 01.exe，保存为C:/windows/gz.exe。

01.exe 采用 nSPack 1.3 -> North Star/Liu Xing Ping 加壳。
/-------
文件说明符 : d:/test/01.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-1-6 14:3:55
修改时间 : 2007-1-6 14:4:2
访问时间 : 2007-1-6 0:0:0
大小 : 367964 字节 359.348 KB
MD5 : 4e17e67f6ced5abf7a83b603c9344fe6
-------/
瑞星 19.04.42 和 Kaspersky在线文件扫描均无反应。

第2部分：

使用execute方法执行自定义函数 rechange() 加密的代码：
/-------
MircoLonge.ShellExecute MircoLong10,BBS,BBS,"open",0
-------/

估计是用来绕过瑞星卡卡的~