我从毒源，也就是这个网址入手，查看hxxp://www.9000music.com（为免误点，将tt改成xx，下同）的代码，发现两段script，和一个frame比较可疑。

如果直接打开这个网站，你会看到百度的界面，而网页标题是“页面加载中……”（连这段页面标题的html代码也是简单加密过的）。表面上你会发现跟平常使用百度是一样的，还可以正常搜索，答案是它本来就是把百度页面嵌入其中的，你看到的是真正的百度的页面，可是在表象后面，script和另一个frame的运作就不为你所知了。

还原script，前面为定义一个function RrRrRrRr，操作对象为字符串，后面为对一串字符串执行这个函数。看看执行后的结果，？不是带毒链接？
于是目标转到frame，查看对应的jijy.htm的代码，结果它的script和主页上的script结构一样，前面定义的function是一样的，但是后面执行的对象内容不一样，把这两段script还原，恶意代码的真面目终于显露出来，起作用的是一段vbscript，利用的是MS06-014漏洞。（其实我对系统漏洞一点都不熟，但是近几天我对恶意代码感兴趣之后，找到的近来的毒网的恶意代码，大多数都是利用这一漏洞的，所以也就记下来了。）

代码如图1。（本人对网页代码实在才疏学浅，哪位发现其中还有其他恶意代码没发现的欢迎补充。）
下载hxxp://www.9000music.com/a/a.exe到本机并运行

于是我自己下载a.exe，在临时文件夹中时，瑞星报毒Trojan.DL.Agent.wsl。关闭瑞星监控（一般用户千万别模仿），把它下载下来，用winrar压缩保存。

[1] [2] [3] 下一页