传播维金/Viking蠕虫的QQ尾巴变花样了
来源:互联网 发布:北大路欣也 知乎 编辑:程序博客网 时间:2024/06/11 10:35
endurer 原创
2006-09-03 第1版
小心通过QQ尾巴中的网址(Q-Zone.****qq.C0M)传播的Worm.Win32.Viking.r
一文中的网址变了。打开QQ好友的对话框就会自动发出的信息为:
/----------
我有个女同学参加2006,大学生网络风采评选,Q-Zone空间上有她参选照片,帮忙游览下给他增加人气,谢谢……
hxxp://Q-Zone.QQ***.C0M.%37***%76%***34%2E%63%6E/Q-zone/Cgi_bin/Entry-Cgiuin=**98393212
----------/
该网页首部中有:
/----------
<iframe src=hxxp://web****2.%33%39%63***%6F%6D%***2E%6F%72%67/ms/mm.htm width=0 height=0></iframe>
----------/
hxxp://web****2.%33%39%63***%6F%6D%***2E%6F%72%67/ms/mm.htm中有 protected by HTMLShip XP(Unregistered Version) 的脚本代码,脚本程序共有3部分(原来脚本程序共有2部分)。
第1、2部分脚本程序 使用的是JavaScript,其功能是阻止用户选择网页内容、屏蔽右键关键菜单等,以及第二部分脚本程序正确运行所需要的数据。
第3部分脚本程序 使用的是VBScript,其功能是利用 Adodb.Stream、Microsoft.XMLHTTP 和 Scripting.FileSystemObject 把某个网站(这里不给出网址了)的MS目录中的文件 HOU2.EXE (原来下载的是 HOU1.EXE)保存为 IE临时文件夹中的 g0ld.com,并利用Shell.Application 对象 的 ShellExecute 方法 来运行。
Kaspersky 将 HOU2.EXE 报为 Worm.Win32.Viking.r。
网页中部同样为加密的脚本代码,脚本解密后为:
/----------
<iframe width="760" height="1830" src="hxxp://u.***7town.com/html/760_1830/ly1/index.html?uid=15407&a=&b=&c=&d=&e=&f=" frameborder="no" border="0" marginwidth="0" marginheight="0" scrolling="no"></iframe>
----------/
- 传播维金/Viking蠕虫的QQ尾巴变花样了
- 传播蠕虫维金/Worm.Viking.cx的QQ尾巴换了花样
- 传播蠕虫维金/Worm.Viking.cx的QQ尾巴再添花样
- 蠕虫维金/Worm.Viking.cx正通过QQ尾巴传播
- 小心通过QQ尾巴中的网址(Q-Zone.****qq.C0M)传播的Worm.Win32.Viking.r
- 小心QQ信息中的网址传播维金Worm.Win32.Viking.ix/Worm.Viking.pg
- 小心免费送6位QQ号码的网站传播Worm.Win32.Viking.lj/Worm.Viking.sv等
- QQ信息中传播Worm.Viking.es的这个网页真复杂
- 以其人之道还治其人之身-Viking蠕虫病毒的手工歼灭!!!-更新
- 小心借情人节传播的QQ尾巴(第3版)
- 发现一个传播威金/Worm.Win32.Viking.if的网站,用的技术很新颖
- 关于蠕虫病毒传播模式的分析
- 一个失效的QQ尾巴
- 某政府网站被加入的自动下载病毒文件的代码变了花样(第3版)
- 基于P2P思想QQ蠕虫的原理
- QQ尾巴病毒的另一种实现
- “QQ尾巴病毒”核心技术的实现
- 《“QQ尾巴病毒”核心技术的实现》日文版
- 用磁盘序列号对ASP进行加密
- main参数的小技巧
- 网页常用小技巧(JavaScript)
- 截取字符串长度(新)
- 用JavaScript脚本制作自己的色谱图
- 传播维金/Viking蠕虫的QQ尾巴变花样了
- 使用JavaScript写的操作系统和输入法程序
- EXERT.exe、LSASS.exe病毒木马查杀
- 从URL获取文件保存到本地的代码
- 清除哇哇资讯病毒
- XML与面向Web的数据挖掘技术
- AJAX介绍
- 心灵独白
- AVI文件格式