endurer 原创
2006-08-01 第1版
一个网友的电脑中了QQ尾巴,打开QQ好友的对话框就会自动发出如下信息:
---------------------------------
麻烦帮我朋友投个票啦!她正在竞选QQ小姐,参选Q-Zone空间上有她近照,点击为她增加人气,先谢谢喽……
hxxp://Q-Zone.****qq.C0M.%62%30%76%2E%63%6E/cgi-bin/Photo=No.****947561
---------------------------------
点击该链接,会打开一个标题为”手机游戏-彩铃-视频-图片-综合性手机服务网站.支持各种手机机型下载,支持移动、联通!”的网页,并弹出“移动_联通,谢谢您的参与! ”的对话框。
网页中包含如下代码:
---------------------------------
<iframe src=hxxp://web***1.%33%39%63%6F%6D%2E%6F%72%67/ms***/mm***.htm width=0 height=0></iframe>
---------------------------------
mm***.htm 的代码为加密过的脚本程序。
脚本程序共有2部分。
第1部分脚本程序 使用的是JavaScript,其功能是阻止用户选择网页内容、屏蔽右键关键菜单等,以及第二部分脚本程序正确运行所需要的数据。
解密后的代码为见 附录1。
第2部分脚本程序 使用的是VBScript,其功能是利用 Adodb.Stream、Microsoft.XMLHTTP 和 Scripting.FileSystemObject 把某个网站(这里不给出网址了)的MS目录中的文件 HOU1.EXE 保存为 IE临时文件夹中的 g0ld.com,并利用Shell.Application 对象 的 ShellExecute 方法 来运行。
Kaspersky 将 HOU1.EXE 报为 Worm.Win32.Viking.r。
瑞星 将 HOU1.EXE 报为 Worm.Viking.aa。
关于这个蠕虫的更多信息,可参考:
遭遇Viking/威金新变种、Trojan-PSW.Win32.WOW.do等(一)
http://blog.csdn.net/Purpleendurer/archive/2006/07/21/950135.aspx
附录1 第1部分脚本程序解密后的代码:
<script language=javascript>
---------------------------------
dH6=2476;
if(document.all)
{
function _dm()
{
return false
};
function _mdm()
{
document.oncontextmenu=_dm;
setTimeout("_mdm()",800)
};
_mdm();
}
document.oncontextmenu=new Function("return false");
function _ndm(e)
{
if (document.layers||window.sidebar)
{
if(e.which!=1)
return false;
}
};
if(document.layers)
{
document.captureEvents(Event.MOUSEDOWN);
document.onmousedown=_ndm;
}
else
{
document.onmouseup=_ndm;
};
sA75=187;
hX40=4188;
function _dws()
{
window.status = " ";
setTimeout("_dws()",100);
};
_dws();
pN54=3615;
oG10=1048;
function _dds()
{
if(document.all)
{
document.onselectstart=function ()
{
return false
};
setTimeout("_dds()",700)
}
};
_dds();
nT70=2191;
oW82=7332;
fH87=190;
rN34=1330;
qA94=2473;
fY59=6474;
wI64=9332;;
_licensed_to_="TEAM iPA";
</script>
---------------------------------
分享到:
相关推荐
Net-Worm.Win32.Kido.ih 是一种广泛传播的蠕虫病毒,它主要通过网络进行扩散,对用户的计算机系统安全构成严重威胁。这个病毒能够影响Windows操作系统,导致各种问题,比如网络连接受阻,尤其是可能导致无法访问微软...
- **定义**:Net-Worm.Win32.Kido.ih是一种网络蠕虫病毒,通过网络传播并在目标计算机上执行恶意操作。 - **传播方式**:此病毒主要通过共享网络资源、电子邮件附件或可移动存储设备进行传播。 - **危害性**:它可以...
Net-Worm.Win32.Kido 专杀
delphi Email-Worm.Win32.Canbis
在Java编程语言中实现贪食蛇游戏,我们需要掌握以下几个核心知识点: 1. **面向对象编程**:Java是一种面向对象的语言,游戏中的每个元素(如蛇、食物、边界)都可以被设计为类。蛇的身体由多个蛇节组成,每个节都...
2、从系统注册表项中删除如下所示"%System%\<rnd>.dll": [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs" 3、重新启动计算机。 4、删除蠕虫文件(位置取决于恶意程序如何侵入计算机) 。 ...
- **前缀**:Win32、PE、Win95、W32、W95等。 - **示例**:CIH病毒,一种著名且具有破坏性的系统病毒。 ##### 2. **蠕虫病毒** - **定义**:蠕虫病毒利用网络或系统漏洞进行传播,有时会发送大量带毒邮件,导致...
- **示例**:QQ消息尾巴木马(Trojan.QQ3344)是一种常见的木马病毒,它会通过即时通讯软件传播。 4. **脚本病毒** - **前缀**:Script。 - **特点**:使用脚本语言编写,可以通过网页传播,常见的前缀还包括VBS...
engine-worm.c
- **计算公式**:\(p = \pi m\),其中\(m\)为模数。 32. **齿宽 (Face Width)** - **定义**:齿轮上齿面的纵向宽度。 - **影响**:决定了齿轮的承载能力和使用寿命。 33. **齿廓 (Tooth Profile)** - **定义**...
- **记忆方法**: “worth”中的“or”发音不同寻常,通过这一点来记忆该词的发音特点。 #### 15. **Worthwhile (adj.)** - **含义**: 值得做的、值得出力的。 - **记忆方法**: “worth”+“while”,结合两个词的...
【标题】"安全相关-病毒防治-瑞星威金Worm.Viking病毒专杀工具 v1.6.zip" 涉及的是一个专门针对威金(Worm.Viking)病毒的清除工具,由知名安全软件厂商瑞星开发。威金病毒是一种广泛传播的计算机蠕虫病毒,对网络...
标题 "delphi Virus.Win32.HLLW.Delf.k." 指的是一种特定的计算机病毒,它属于 Delphi 编程语言编写并且在 Windows 32 位平台上运行的 HLLW(High Level Language Worm)类病毒。这种病毒通常会自我复制并利用系统...
SAMBO工业有限公司生产的蜗轮执行器(Worm Gear Actuators)是一种利用蜗杆与蜗轮传动原理来实现旋转运动传递的机械装置。它广泛应用于工业自动化领域中的阀门控制,如水处理、石油、化工等行业中的管道系统控制。 ...
在日常生活中,智能手机已成为我们不可或缺的一部分,它不仅方便了我们的通讯交流,还集成了多种实用功能。然而,随着移动互联网的发展,手机病毒也日益猖獗,一旦手机不幸“中毒”,可能会导致数据丢失、隐私泄露等...
### PLC Blaster:一种完全生活在PLC中的蠕虫 #### 标题解析 标题“asia-16-Spenneberg-PLC-Blaster-A-Worm-Living-Solely-In-The-PLC”揭示了该文章的主题是关于一种名为“PLC Blaster”的蠕虫,这种蠕虫的独特之...
比如,通过修改`server.xml`中的`Connector`元素,可以调整端口号、SSL设置或者连接池配置。`context.xml`则用于定义特定Web应用的配置。 总的来说,Apache Tomcat是Java Web开发的重要组成部分,而提供的源码可以...
标题中的“bat.worm.muma.rar_WORM”指的是一个蠕虫病毒,该病毒主要通过BAT(批处理)文件传播。蠕虫病毒是一种自我复制的恶意软件,能够在计算机网络中独立移动,无需人为干预,通常通过电子邮件、即时消息、下载...