网站首页被加入<iframe>代码,引入网页 he1p.html。
he1p.html 的内容为填入多余空格的VBScript脚本代码,分为两个部分。
第1部分
功能为:利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 01.exe,保存为C:/windows/gz.exe。
01.exe 采用 nSPack 1.3 -> North Star/Liu Xing Ping 加壳。
/-------
第2部分:
使用execute方法执行自定义函数 rechange() 加密的代码:
/-------
MircoLonge.ShellExecute MircoLong10,BBS,BBS,"open",0
-------/
估计是用来绕过瑞星卡卡的~
