endurer 原创
2007-01-29 第1版
QQ收到如下信息:/-------hxxp://www.a**hw**l**q*t.com/**1*23**.html 这里有我的照片大家来看下顺便给个评价谢谢了-------/
打开该网页,没有内容,但网页中的VBScript代码会利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 123.exe,保存为 %temp%/svchost.exe,然后调用自定义函数tcsafe1exe(m5,X9)。
自定义函数tcsafe1exe()的功能是创建Shell.Application 对象Xe,利用 Xe 的 ShellExecute 方法 来运行 %temp%/svchost.exe。
这点与
劫持浏览器并弹广告的Trojan.Clicker.VB.ajn正通过QQ信息中的网址传播 http://endurer.bokee.com/6074696.htmlhttp://www.blogcn.com/user50/endurer/blog/51870395.htmlhttp://blog.csdn.net/Purpleendurer/archive/2007/01/28/1496462.aspx
中的VBScript脚本程序相似。
/-----文件说明符 : D:/test/123.exe属性 : A---获取文件版本信息大小失败!创建时间 : 2007-1-28 22:51:10修改时间 : 2007-1-28 22:51:24访问时间 : 2007-1-28 0:0:0大小 : 43490 字节 42.482 KBMD5 : 25c796d526b18a2e244b93bb6074f23a-----/Kaspersky报为:Trojan-PSW.Win32.QQPass.qg 瑞星报为:Trojan.PSW.QQPass.rky
Scanned file: 123.exe - Infected
123.exe - infected by Trojan-PSW.Win32.QQPass.qg昨晚这两个杀软都没反应,想不到今天都报了~
