瑞星卡卡安全论坛技术交流区恶意网站交流 高手们看看这种弹窗代码都是起了什么作用

1   1  /  1  页   跳转

[求助] 高手们看看这种弹窗代码都是起了什么作用

高手们看看这种弹窗代码都是起了什么作用

代码如下,此代码的后面有退弹的效果但是代码前面的就看不懂什么意思了

比如代码中挂的这些域名sf9.com  sf99.com等等

var ParentUrl=document.referrer;
if(document.referrer!=""||ParentUrl.indexOf("sf9.com")!=-1||ParentUrl.indexOf("sf99.com")!=-1||ParentUrl.indexOf("haofu.com")!=-1||ParentUrl.indexOf("haohj.com")!=-1||ParentUrl.indexOf("sf123.cc")!=-1||ParentUrl.indexOf("15sf.com")!=-1||ParentUrl.indexOf("wg888.com")!=-1||ParentUrl.indexOf("95sf.com")!=-1||ParentUrl.indexOf("hj123.com")!=-1||ParentUrl.indexOf("sf666.com")!=-1||ParentUrl.indexOf("66sf.com")!=-1||ParentUrl.indexOf("92gg.com")!=-1||ParentUrl.indexOf("zhaosf.cm")!=-1||ParentUrl.indexOf("chisf.com")!=-1||ParentUrl.indexOf("55hj.com")!=-1||ParentUrl.indexOf("yaosf.com")!=-1||ParentUrl.indexOf("zhaofg.com")!=-1||ParentUrl.indexOf("88858.com")!=-1||ParentUrl.indexOf("941f.com")!=-1||ParentUrl.indexOf("baidu.com")!=-1||ParentUrl.indexOf("pk999.com")!=-1||ParentUrl.indexOf("003is.com")!=-1||ParentUrl.indexOf("33345.com")!=-1||ParentUrl.indexOf("01sf.com")!=-1||ParentUrl.indexOf("sf78.com")!=-1||ParentUrl.indexOf("39k.com")!=-1||ParentUrl.indexOf("933gg.com")!=-1||ParentUrl.indexOf("haosf.cm")!=-1||ParentUrl.indexOf("30uc.com")!=-1||ParentUrl.indexOf("994f.com")!=-1||ParentUrl.indexOf("80sf.com")!=-1||ParentUrl.indexOf("123sf.com")!=-1||ParentUrl.indexOf("222sf.com")!=-1||ParentUrl.indexOf("9175.com")!=-1||ParentUrl.indexOf("66sf.com")!=-1||ParentUrl.indexOf("06sf.com")!=-1||ParentUrl.indexOf("sf123.cc")!=-1||ParentUrl.indexOf("95sf.com")!=-1||ParentUrl.indexOf("qunxing180.com")!=-1||ParentUrl.indexOf("45youxi.com")!=-1||ParentUrl.indexOf("45fa.com")!=-1||ParentUrl.indexOf("tx179.com")!=-1||ParentUrl.indexOf("789f.com")!=-1||ParentUrl.indexOf("17ss.com")!=-1||ParentUrl.indexOf("88a.cm")!=-1||ParentUrl.indexOf("go.htm?")!=-1){
var u = "6BF52A52-394A-11D3-B153-00C04F79FAA6";

function ext()
{
if(window.event.clientY<132 || altKey) iie.launchURL(popURL);
}



function brs()
{
document.body.innerHTML+="
";
}

var popURL = 'http://www.555yx.com';

eval("window.attachEvent('onload',brs);");
eval("window.attachEvent('onunload',ext);");
}else
{
document.write(unescape('

window.onload = function(){
if(top!=self){
var f = document.createElement("form");
f.action=location;
f.target="_parent";
document.body.appendChild(f);
f.submit();
}
};

'));
document.writeln("
document.write(unescape(\'
if(parent.window.opener) parent.window.opener.location='http:\/\/www.555yx.com/\/'; <\/SCRIPT>\'))<\/SCRIPT>");
document.writeln("  document.write(unescape(\'window.opener.parent.navigate("http://www.555yx.com/");
\'))<\/SCRIPT>");
};


用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
分享到:
gototop
 

回复:高手们看看这种弹窗代码都是起了什么作用

可能是加密的代码 等待高手翻译。。。
哈哈 小流氓来啦 大家快逃啊
gototop
 

回复:高手们看看这种弹窗代码都是起了什么作用

等待中!!
gototop
 

回复:高手们看看这种弹窗代码都是起了什么作用

这个不是什么加密的 就是javascript脚本代码
上面的意思是当前打开的文档的链接 如果类似括号中引号下的这些sf9.com  haofu.com  39k.com....这些字符在链接中出现的话就执行u = "6BF52A52-394A-11D3-B153-00C04F79FAA6";
而这串指的是windows media player的dll文件 可能是代码不全吧 应该是指开始启动该程序
大致是这个意思
gototop
 

回复:高手们看看这种弹窗代码都是起了什么作用

这脚本中还有自动生成的功能,有个down.gif文件,删了它这个还可以在生成,郁闷
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT