挂马网页搜查

最近用百度搜索“Matlab sound”第三个结果matlab资源网（w w w.y m l i b . n e t ）（网址不安全，建议不要打开），一进去就弹出如下对话框

这鬼窗口已经在我浏览网页的时候出现过好几次了，今天终于决定搜查一下

————————————————————————————————————————————————

（1）用下载工具下载挂马页面w w w . y m l i b . n e t / s o f t / s o r t 0 3 / d o w n - 2 8 . h t m l，记事本打开之，搜查一遍，发现 <script src>引入了/inc/main.js，/adfile/banner.js，/adfile/footer.js，/adfile/top.js

（2）再下载这四个文件，发现都用iframe加载了 h t t p : / / b a i d u . b b t u 0 2 . c n / w 8 8 / w 8 8 . h t m 页面

（3）下载了w 8 8 . h t m ，发现script加载h t t p : / / j s . t o n g j i . c n . y a h o o . c o m / 8 4 1 7 0 5 / y s t a t . j s，iframe加载new.html；前者是那个网站的正常功能js，没有问题

（4）下载new.html，发现如下的加载过程

1.这个文件又载入fx.htm,这个文件里面判断msie从而载入mlink.html或者xlink.html

2.还加载了一些乱七八糟的htm，外加new ActiveXObject()创建了  snpvw.Snapshot Viewer Control.1，Downloader.DLoader.1，GLIEDown.IEDown.1，MPS.StormPlayer，IERPCtl.IERPCtl.1，这应该就是利用本地安装的一些ActiveX控件的漏洞进行破坏了，其中Downloader.DLoader看名字应该是个病毒下载器

剩下的我就没有继续再查下去了，其中32行往下的查到网上资料是利用的realplayer的漏洞（参考资料：http://blog.youkuaiyun.com/magictong/archive/2008/11/29/3410555.aspx对一个挂马网页的简单分析）

——————————————————————————————————————————

从上面的追踪可以看到，这些网页就是绕着弯儿的隐藏它的加载过程，最后逐个测试客户系统漏洞进行处理

——————————————————————————————————————

我还得比较一下Google跟baidu的搜索结果的差别：

百度“CCmdUI”,Google”CCmdUI--三月春”（这是在数个月前发现的一个被挂马的网站，不过现在好像已经修复了，当时木马好像是在一个google-anasis.cn的网站，意在假冒google吧，一打开“三月春”状态栏就出现从这个网站下载数据，机器变慢）

百度“matlab sound”，Google“matlab资源网”（这是我最近发现的挂马网站）

 

——————————————————————————————————————

另在网上发现的挂马网站挂马网站b a i d u . b b t u 0 1 . c n ， b a i d u . b b t u 0 2 . c n

—————————————————————————————————

我想说，百度自称民族企业，受着咱同胞的支持，有没考虑过为咱们多做点儿什么呢，尽管从法律义务上说，搜索引擎没有义务为网民的安全负责