瑞星卡卡安全论坛

源代码内容如下：



浏览器直接访问无法打开，地址：http://202.106.195.28:8080/index.html?Url=www.hxwangda.com
今天发现解密有好几个网站都是这类源代码。

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)

<html>
<head>
<META HTTP-EQUIV="pragma" CONTENT="no-cache">
<META  HTTP-EQUIV="Content-Type" content="text/html; charset=UTF-8">
<META HTTP-EQUIV="Cache-Control" CONTENT="no-cache, must-revalidate">
<META HTTP-EQUIV="expires" CONTENT="Wed, 26 Feb 1997 08:21:57 GMT">
<META HTTP-EQUIV="expires" CONTENT="0">

<link rel="stylesheet" type="text/css" href="http://202.106.195.21/aicss_bbn_21_8080.css" />
</head>

<script>
s=String(window.location.href);
var  strArray=new  Array();
strArray=s.split("Url="); 
mylocal=strArray[1].replace(/\./g,' ');
t = "http://www.wa7.cn/getpara.asp?cid=zwwmdz&cl=" + mylocal;
document.location.href = t;
</script>

<body></body>
</html>

ls上的确定一下是否有马，最好给个详细的解密思路。:kaka12:

<script>
s=String(window.location.href);
var  strArray=new  Array();
strArray=s.split("Url="); 
mylocal=strArray[1].replace(/\./g,' ');
t = "http://www.wa7.cn/getpara.asp?cid=zwwmdz&cl=" + mylocal;
document.location.href = t;
</script>

这段咋解?

我也看见一个这样内容的
http://vvk7.cn

在htmlview里面测试一下就知道了
应该是无毒，广告。

s=String("http://202.106.195.28:8080/index.html?Url=www.hxwangda.com");
var  strArray=new  Array();
strArray=s.split("Url="); 
mylocal=strArray[1].replace(/\./g,' ');
t = "http://www.wa7.cn/getpara.asp?cid=zwwmdz&cl=" + mylocal;
eval(t);

LZ 这个貌似是不存活的 DNS返回的内容吧:kaka11: