endurer　原创

2006-08-01　第1版

一个网友的电脑中了QQ尾巴，打开QQ好友的对话框就会自动发出如下信息：

---------------------------------
麻烦帮我朋友投个票啦!她正在竞选QQ小姐,参选Q-Zone空间上有她近照,点击为她增加人气,先谢谢喽……

hxxp://Q-Zone.****qq.C0M.%62%30%76%2E%63%6E/cgi-bin/Photo=No.****947561
---------------------------------

点击该链接，会打开一个标题为”手机游戏-彩铃-视频-图片-综合性手机服务网站.支持各种手机机型下载，支持移动、联通！”的网页，并弹出“移动_联通,谢谢您的参与! ”的对话框。

网页中包含如下代码：
---------------------------------
＜iframe src=hxxp://web***1.%33%39%63%6F%6D%2E%6F%72%67/ms***/mm***.htm width=0 height=0＞＜/iframe＞ 
---------------------------------

mm***.htm　的代码为加密过的脚本程序。

脚本程序共有2部分。

第1部分脚本程序　使用的是JavaScript，其功能是阻止用户选择网页内容、屏蔽右键关键菜单等，以及第二部分脚本程序正确运行所需要的数据。
解密后的代码为见 附录1。

第2部分脚本程序　使用的是VBScript，其功能是利用 Adodb.Stream、Microsoft.XMLHTTP 和 Scripting.FileSystemObject 把某个网站（这里不给出网址了）的MS目录中的文件 HOU1.EXE 保存为 IE临时文件夹中的 g0ld.com，并利用Shell.Application 对象 的 ShellExecute 方法 来运行。

Kaspersky 将 HOU1.EXE 报为 Worm.Win32.Viking.r。

瑞星 将 HOU1.EXE 报为 Worm.Viking.aa。

关于这个蠕虫的更多信息，可参考：

遭遇Viking/威金新变种、Trojan-PSW.Win32.WOW.do等(一)
http://blog.csdn.net/Purpleendurer/archive/2006/07/21/950135.aspx

附录1 　　第1部分脚本程序解密后的代码：

＜script language=javascript＞

---------------------------------
dH6=2476;

if(document.all)
{
 function _dm()
 {
  return false
 };

function _mdm()
{
 document.οncοntextmenu=_dm;
 setTimeout("_mdm()",800)
};

_mdm();
}

document.οncοntextmenu=new Function("return false");

function _ndm(e)
{
 if (document.layers||window.sidebar)
 {
  if(e.which!=1)
   return false;
 }
};

if(document.layers)
{
 document.captureEvents(Event.MOUSEDOWN);
 document.οnmοusedοwn=_ndm;
}
else
{
 document.οnmοuseup=_ndm;
};

sA75=187;
hX40=4188;

function _dws()
{
 window.status = " ";
 setTimeout("_dws()",100);
};
_dws();

pN54=3615;
oG10=1048;

function _dds()
{
 if(document.all)
 {
  document.onselectstart=function ()
  {
   return false
  };
  setTimeout("_dds()",700)
 }
};

_dds();
nT70=2191;
oW82=7332;
fH87=190;
rN34=1330;
qA94=2473;
fY59=6474;
wI64=9332;;
_licensed_to_="TEAM iPA";
＜/script＞
---------------------------------