小心通过QQ尾巴中的网址(Q-Zone qq C0M)传播的Worm Win32 Viking r
endurer 原创
2006-08-01 第1版
一个网友的电脑中了QQ尾巴,打开QQ好友的对话框就会自动发出如下信息:
---------------------------------
麻烦帮我朋友投个票啦!她正在竞选QQ小姐,参选Q-Zone空间上有她近照,点击为她增加人气,先谢谢喽……
hxxp://Q-Zone.****qq.C0M.%62%30%76%2E%63%6E/cgi-bin/Photo=No.****947561
---------------------------------
点击该链接,会打开一个标题为”手机游戏-彩铃-视频-图片-综合性手机服务网站.支持各种手机机型下载,支持移动、联通!”的网页,并弹出“移动_联通,谢谢您的参与! ”的对话框。
网页中包含如下代码:
---------------------------------
<iframe src=hxxp://web***1.%33%39%63%6F%6D%2E%6F%72%67/ms***/mm***.htm width=0 height=0></iframe>
---------------------------------
mm***.htm 的代码为加密过的脚本程序。
脚本程序共有2部分。
第1部分脚本程序 使用的是JavaScript,其功能是阻止用户选择网页内容、屏蔽右键关键菜单等,以及第二部分脚本程序正确运行所需要的数据。
解密后的代码为见 附录1。
第2部分脚本程序 使用的是VBScript,其功能是利用 Adodb.Stream、Microsoft.XMLHTTP 和 Scripting.FileSystemObject 把某个网站(这里不给出网址了)的MS目录中的文件 HOU1.EXE 保存为 IE临时文件夹中的 g0ld.com,并利用Shell.Application 对象 的 ShellExecute 方法 来运行。
Kaspersky 将 HOU1.EXE 报为 Worm.Win32.Viking.r。
瑞星 将 HOU1.EXE 报为 Worm.Viking.aa。
关于这个蠕虫的更多信息,可参考:
遭遇Viking/威金新变种、Trojan-PSW.Win32.WOW.do等(一)
http://blog.csdn.net/Purpleendurer/archive/2006/07/21/950135.aspx
附录1 第1部分脚本程序解密后的代码:
<script language=javascript>
---------------------------------
dH6=2476;
if(document.all)
{
function _dm()
{
return false
};
function _mdm()
{
document.οncοntextmenu=_dm;
setTimeout("_mdm()",800)
};
_mdm();
}
document.οncοntextmenu=new Function("return false");
function _ndm(e)
{
if (document.layers||window.sidebar)
{
if(e.which!=1)
return false;
}
};
if(document.layers)
{
document.captureEvents(Event.MOUSEDOWN);
document.οnmοusedοwn=_ndm;
}
else
{
document.οnmοuseup=_ndm;
};
sA75=187;
hX40=4188;
function _dws()
{
window.status = " ";
setTimeout("_dws()",100);
};
_dws();
pN54=3615;
oG10=1048;
function _dds()
{
if(document.all)
{
document.onselectstart=function ()
{
return false
};
setTimeout("_dds()",700)
}
};
_dds();
nT70=2191;
oW82=7332;
fH87=190;
rN34=1330;
qA94=2473;
fY59=6474;
wI64=9332;;
_licensed_to_="TEAM iPA";
</script>
---------------------------------
再分享一下我老师大神的人工智能教程吧。零基础!通俗易懂!风趣幽默!还带黄段子!希望你也加入到我们人工智能的队伍中来!https://blog.csdn.net/jiangjunshow
小心通过QQ尾巴中的网址(Q-Zone qq C0M)传播的Worm Win32 Viking r相关推荐
- 小心QQ信息中的网址传播维金Worm.Win32.Viking.ix/Worm.Viking.pg
endurer 原创 2007-03-17 第1版 QQ收到信息: /--- 她寂寞,她孤独,她讨厌男人,她需要男人,请点击 hxxp://www.b**b**a*imm.info与她视频点对点做爱! ...
- 盗取QQ密码的Trojan.PSW.QQPass.rky正通过QQ信息中的网址传播
endurer 原创 2007-01-29 第1版 QQ收到如下信息: /------- hxxp://www.a**hw**l**q*t.com/**1*23**.html 这里有我的照片大家来看下 ...
- 昨天才提醒,今天就有网友点击QQ信息中的网址,中Worm Viking pk/Worm Win32 Viking jg了
endurer 原创 2007-03-20 第1版 昨天才提醒大家小心QQ信息中的网址会传播维金/Viking等病毒: 小心QQ信息中的网址传播维金Worm.Win32.Viking.ix/Worm. ...
- QQ聊天机器人--基于酷Q写的插件
闲着无聊,百度了一下,在微信上调戏微软小冰,感觉很有趣,于是乎百度了一系列关于自动回复的,最后得知了,图灵机器人和酷Q这两个软件,在找的时候发现酷Q(基于易语言)有C++的sdk,所以就打算借助酷 ...
- 用Windows工具揪出隐藏的QQ尾巴
"QQ尾巴"是利用Windows系统下Internet Explorer的iFrame系统漏洞自动运行的一种恶意木马程序.该木马病毒会偷偷潜藏在用户的系统中,发作时会寻找QQ窗口并 ...
- 传播蠕虫维金/Worm.Viking.cx的QQ尾巴再添花样
endurer 原创 2006-10-08 第 1版 QQ自动发送的信息为: /-------- 看看我最近的照片~~~ 才扫描到Q-Zone空间上的.是不是有点太露了.... hxxp://Q-Zo ...
- 实战项目三:爬取QQ群中的人员信息
文章目录 一.selenium简介 (一)实例说明 (二)元素定位方式 (三)实现滚动条自动下拉 二.Xpath简介 (一)语法: (二)实例: 三.定义一个爬虫类 (一)导入包 (二)初始化类 (三 ...
- 在QQ群和QQ空间中挂马
有无数人每天都在使用 QQ ,大家往往注重于QQ尾巴病毒.QQ传 木马 之类的攻击方式,却很少有人注意到我们经常访问的QQ群.QQ空间里面隐藏着更大的安全危险,远比QQ尾巴病毒.QQ传木马之类的隐蔽得 ...
- QQ跳转浏览器php代码,网址在手机QQ内被点击时自动打开默认浏览器跳转php源码...
通过一段代码让网址在手机QQ内被点击时自动打开默认浏览器跳转,但是这段代码并不完美,经过几个后缀不同的域名的测试,只有访问.cn或者.com域名时才能正常的跳转.这个代码适用于很多方面,例如使被QQ管 ...
最新文章
- 字符串数组(就自己做个笔记)
- LSTM UEBA异常检测——deeplog里其实提到了,就是多分类LSTM算法,结合LSTM预测误差来检测异常参数...
- 写给过去的自己-No.2-数据结构篇-初尝柔性数组
- EWSD命令输入格式解释
- Linux 环境下umount, 报 device is busy 的问题分析与解决方法
- MYSQL不同字段之间四则运算
- 【习题0】准备工作【第0天】
- Linux入门(1)_VMware和系统分区和系统安装和远程登陆管理
- qq2006导致alt-tab切换失灵,还不知道怎么报告和解决(英文win2000)
- 都是第一,3143亿背后科技公司贡献了多少?
- ScrollView不设置contentSize属性依然也可以作为底层滚动View(使用masonry设置scrollView的contentSize)...
- PLC控制系统设计的基本内容
- 大气压力换算公式_压力公式换算
- [转]众多OCR软件
- 货币的未来取决于打破关于货币历史的虚构谎言
- 云栖大会不能错过的一个专场——阿里大数据
- android获取手机IMSI号
- JS结合PHP瀑布流,JavaScript_原生JS实现响应式瀑布流布局,原生JS实现的瀑布流布局,代 - phpStudy...
- DB2 使用REORG命令重组优化表和索引
- MySQL数据库之数据库约束,一文带你了解