瑞星卡卡安全论坛

首页 » 技术交流区 » 恶意网站交流 » 高手们看看这种弹窗代码都是起了什么作用

夜色风情 - 2011-8-20 20:06:00

代码如下，此代码的后面有退弹的效果但是代码前面的就看不懂什么意思了

比如代码中挂的这些域名sf9.com sf99.com等等

[复制到剪贴板]

CODE:

var ParentUrl=document.referrer;
if(document.referrer!=""||ParentUrl.indexOf("sf9.com")!=-1||ParentUrl.indexOf("sf99.com")!=-1||ParentUrl.indexOf("haofu.com")!=-1||ParentUrl.indexOf("haohj.com")!=-1||ParentUrl.indexOf("sf123.cc")!=-1||ParentUrl.indexOf("15sf.com")!=-1||ParentUrl.indexOf("wg888.com")!=-1||ParentUrl.indexOf("95sf.com")!=-1||ParentUrl.indexOf("hj123.com")!=-1||ParentUrl.indexOf("sf666.com")!=-1||ParentUrl.indexOf("66sf.com")!=-1||ParentUrl.indexOf("92gg.com")!=-1||ParentUrl.indexOf("zhaosf.cm")!=-1||ParentUrl.indexOf("chisf.com")!=-1||ParentUrl.indexOf("55hj.com")!=-1||ParentUrl.indexOf("yaosf.com")!=-1||ParentUrl.indexOf("zhaofg.com")!=-1||ParentUrl.indexOf("88858.com")!=-1||ParentUrl.indexOf("941f.com")!=-1||ParentUrl.indexOf("baidu.com")!=-1||ParentUrl.indexOf("pk999.com")!=-1||ParentUrl.indexOf("003is.com")!=-1||ParentUrl.indexOf("33345.com")!=-1||ParentUrl.indexOf("01sf.com")!=-1||ParentUrl.indexOf("sf78.com")!=-1||ParentUrl.indexOf("39k.com")!=-1||ParentUrl.indexOf("933gg.com")!=-1||ParentUrl.indexOf("haosf.cm")!=-1||ParentUrl.indexOf("30uc.com")!=-1||ParentUrl.indexOf("994f.com")!=-1||ParentUrl.indexOf("80sf.com")!=-1||ParentUrl.indexOf("123sf.com")!=-1||ParentUrl.indexOf("222sf.com")!=-1||ParentUrl.indexOf("9175.com")!=-1||ParentUrl.indexOf("66sf.com")!=-1||ParentUrl.indexOf("06sf.com")!=-1||ParentUrl.indexOf("sf123.cc")!=-1||ParentUrl.indexOf("95sf.com")!=-1||ParentUrl.indexOf("qunxing180.com")!=-1||ParentUrl.indexOf("45youxi.com")!=-1||ParentUrl.indexOf("45fa.com")!=-1||ParentUrl.indexOf("tx179.com")!=-1||ParentUrl.indexOf("789f.com")!=-1||ParentUrl.indexOf("17ss.com")!=-1||ParentUrl.indexOf("88a.cm")!=-1||ParentUrl.indexOf("go.htm?")!=-1){
var u = "6BF52A52-394A-11D3-B153-00C04F79FAA6";

function ext()
{
if(window.event.clientY<132 || altKey) iie.launchURL(popURL);
}

function brs()
{
document.body.innerHTML+="
";
}

var popURL = 'http://www.555yx.com';

eval("window.attachEvent('onload',brs);");
eval("window.attachEvent('onunload',ext);");
}else
{
document.write(unescape('

window.onload = function(){
if(top!=self){
var f = document.createElement("form");
f.action=location;
f.target="_parent";
document.body.appendChild(f);
f.submit();
}
};

'));
document.writeln("
document.write(unescape(\'
if(parent.window.opener) parent.window.opener.location='http:\/\/www.555yx.com/\/'; <\/SCRIPT>\'))<\/SCRIPT>");
document.writeln(" document.write(unescape(\'window.opener.parent.navigate("http://www.555yx.com/");
\'))<\/SCRIPT>");
};

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)

deng520 - 2011-8-20 22:20:00

可能是加密的代码等待高手翻译。。。

夜色风情 - 2011-8-21 11:41:00

等待中！！

lzwai - 2011-8-21 18:17:00

这个不是什么加密的就是javascript脚本代码
上面的意思是当前打开的文档的链接如果类似括号中引号下的这些sf9.com haofu.com 39k.com....这些字符在链接中出现的话就执行u = "6BF52A52-394A-11D3-B153-00C04F79FAA6";
而这串指的是windows media player的dll文件可能是代码不全吧应该是指开始启动该程序
大致是这个意思

夜色风情 - 2011-8-24 14:13:00

这脚本中还有自动生成的功能，有个down.gif文件，删了它这个还可以在生成，郁闷

1

查看完整版本: 高手们看看这种弹窗代码都是起了什么作用

© 2000 - 2024 Rising Corp. Ltd.