小心通过QQ尾巴中的网址(Q-Zone.****qq.C0M)传播的Worm.Win32.Viking.r
来源:互联网 发布:netgear访客网络设置 编辑:程序博客网 时间:2024/04/30 20:04
endurer 原创
2006-08-01 第1版
一个网友的电脑中了QQ尾巴,打开QQ好友的对话框就会自动发出如下信息:
---------------------------------
麻烦帮我朋友投个票啦!她正在竞选QQ小姐,参选Q-Zone空间上有她近照,点击为她增加人气,先谢谢喽……
hxxp://Q-Zone.****qq.C0M.%62%30%76%2E%63%6E/cgi-bin/Photo=No.****947561
---------------------------------
点击该链接,会打开一个标题为”手机游戏-彩铃-视频-图片-综合性手机服务网站.支持各种手机机型下载,支持移动、联通!”的网页,并弹出“移动_联通,谢谢您的参与! ”的对话框。
网页中包含如下代码:
---------------------------------
<iframe src=hxxp://web***1.%33%39%63%6F%6D%2E%6F%72%67/ms***/mm***.htm width=0 height=0></iframe>
---------------------------------
mm***.htm 的代码为加密过的脚本程序。
脚本程序共有2部分。
第1部分脚本程序 使用的是JavaScript,其功能是阻止用户选择网页内容、屏蔽右键关键菜单等,以及第二部分脚本程序正确运行所需要的数据。
解密后的代码为见 附录1。
第2部分脚本程序 使用的是VBScript,其功能是利用 Adodb.Stream、Microsoft.XMLHTTP 和 Scripting.FileSystemObject 把某个网站(这里不给出网址了)的MS目录中的文件 HOU1.EXE 保存为 IE临时文件夹中的 g0ld.com,并利用Shell.Application 对象 的 ShellExecute 方法 来运行。
Kaspersky 将 HOU1.EXE 报为 Worm.Win32.Viking.r。
瑞星 将 HOU1.EXE 报为 Worm.Viking.aa。
关于这个蠕虫的更多信息,可参考:
遭遇Viking/威金新变种、Trojan-PSW.Win32.WOW.do等(一)
http://blog.csdn.net/Purpleendurer/archive/2006/07/21/950135.aspx
附录1 第1部分脚本程序解密后的代码:
<script language=javascript>
---------------------------------
dH6=2476;
if(document.all)
{
function _dm()
{
return false
};
function _mdm()
{
document.oncontextmenu=_dm;
setTimeout("_mdm()",800)
};
_mdm();
}
document.oncontextmenu=new Function("return false");
function _ndm(e)
{
if (document.layers||window.sidebar)
{
if(e.which!=1)
return false;
}
};
if(document.layers)
{
document.captureEvents(Event.MOUSEDOWN);
document.onmousedown=_ndm;
}
else
{
document.onmouseup=_ndm;
};
sA75=187;
hX40=4188;
function _dws()
{
window.status = " ";
setTimeout("_dws()",100);
};
_dws();
pN54=3615;
oG10=1048;
function _dds()
{
if(document.all)
{
document.onselectstart=function ()
{
return false
};
setTimeout("_dds()",700)
}
};
_dds();
nT70=2191;
oW82=7332;
fH87=190;
rN34=1330;
qA94=2473;
fY59=6474;
wI64=9332;;
_licensed_to_="TEAM iPA";
</script>
---------------------------------
- 小心通过QQ尾巴中的网址(Q-Zone.****qq.C0M)传播的Worm.Win32.Viking.r
- 小心QQ信息中的网址传播维金Worm.Win32.Viking.ix/Worm.Viking.pg
- 小心免费送6位QQ号码的网站传播Worm.Win32.Viking.lj/Worm.Viking.sv等
- 蠕虫维金/Worm.Viking.cx正通过QQ尾巴传播
- 传播蠕虫维金/Worm.Viking.cx的QQ尾巴换了花样
- 传播蠕虫维金/Worm.Viking.cx的QQ尾巴再添花样
- 小心QQ信息的网址传播 Backdoor.Win32.Agent.ahj
- 昨天才提醒,今天就有网友点击QQ信息中的网址,中Worm.Viking.pk/Worm.Win32.Viking.jg了
- 传播维金/Viking蠕虫的QQ尾巴变花样了
- QQ信息中传播Worm.Viking.es的这个网页真复杂
- 小心借情人节传播的QQ尾巴(第3版)
- 免费刷会员和六钻工具?小心通过QQ传播的灰鸽子Backdoor.Win32.Gpigeon.gem
- 03-29/小心QQ信息中的网址传播Trojan-PSW.Win32.Delf.qc/Trojan.PSW.Liumazi.kr(2版)
- 盗取QQ密码的Trojan.PSW.QQPass.rky正通过QQ信息中的网址传播
- 木马Trojan.Agent.ace 通过QQ信息中的网址传播
- ARP病毒所加网址传播Worm.Win32.Anilogo,Win32.Logogo.q等
- 发现一个传播威金/Worm.Win32.Viking.if的网站,用的技术很新颖
- 03-19/一个传播 Worm.Win32.Viking.jg的 网页,解密有点难度(第2版)
- 收尸,又见收尸
- 我的ARM之路(一)
- 使用OpenCV的一些经验
- 思念
- 无耻的盗号木马WINLOGON.EXE(全大写,小写的那个一般是核心进程)
- 小心通过QQ尾巴中的网址(Q-Zone.****qq.C0M)传播的Worm.Win32.Viking.r
- 现在是北京时间01:30
- 今晚--我家厨房--蒜泥白肉
- ASP.NET页面的执行顺序
- 转:谈谈和女朋友相处3年的体会
- Programming Windows with MFC - Chapter 12 Toolbars
- 2006年8月2号 4点
- 驳多核无用论-转载自孟岩的blog
- 计算机科学与技术到底是什么?