LOC论坛被挂马了……

houset

卡巴斯基报警，拒绝访问。。。。。

雨宫音羽

吓得我赶紧拿出了暗藏多年的挂马分析器。。

然后就发现了为毛被爆挂马
https://www.virustotal.com/en/file/c35b9e2af020e4e535c48a7b23f69a5e4c67b3a4d1bd2b3f7602856d7100cc3b/analysis/1491478342/

实际上 纯属误报 它内容是这样的

1. <html><body><script>var uw="",vw="",yw,ww=new Array(),xw;function sw(tw){for(yw=0;yw<xw.length;yw++)ww[yw]=xw.charCodeAt(yw);yw="yw=50;while(true){if(yw<4)break;ww[yw]=((((ww[yw]+ww[yw-1])&0xff)<<1)&0xff)|(((ww[yw]+ww[yw-1])&0xff)>>7);yw--;}";eval(yw);for(yw=51;yw>=1;yw--){ww[yw]=(~(((ww[yw]-ww[yw-1])&0xff)^201))&0xff;}yw="for(yw=48;yw>=4;yw--){ww[yw]=(ww[yw]+ww[yw-1])&0xff;}";eval(yw);xw="";for(yw=1;yw<ww.length-1;yw++)if(yw%8)xw+=String.fromCharCode(ww[yw]^tw);eval("yw=eval;yw(xw);");}xw="^\xd8<\x9fN]h\xf0\xd7\x9f\xc2C\xb2HDN\xc2\x08\xb2\x0c\xaak\x9bJ\x1f\xe0!o\xb9\xdcOe^Ng6p\x98\x06\x9ax:\xc3b1\x18\xcc\xc8\x10\xfe\xa7o\xc8";sw(59);</script><script>var u=2;for(;u==1;u++);</script><br><br><br><center><h3><p>访问本页面，您的浏览器需要支持JavaScript</p></h3></center></body></html>

复制代码

乍一看很像挂马用的那种混淆方式 我第一眼看过去也是心想卧槽被挂马了 但实际上解混淆以后得到：

1. window.open(uw+"/?jdfwkey=1y7311"+vw,"_self")

复制代码

显然 是loc为了防CC用的脚本 为的是防止CC客户端直接读取明文JavaScript的跳转代码导致防CC无效

so 无视吧

气味

呃 打开QQ安全管家试试

okfans

被人举报了！！

Tysond

win7裸奔好爽, 没有任何提示 哈哈

a3607

win10裸奔好爽

cxd44

win7就一个官方的杀毒软件，静静的没啥动静

houset

雨宫音羽 发表于 2017-4-6 19:34
吓得我赶紧拿出了暗藏多年的挂马分析器。。

然后就发现了为毛被爆挂马

果然是技术大神，牛。。。。。
但是这个确实有副作用，到现在为止，只要打开LOC，卡巴就卡住，提示拒绝访问。。。。刷新一次提示一次。。。没办法只能退出卡巴才行。。。。

deepflow

雨宫音羽 发表于 2017-4-6 19:46
不 有意义的 这终究是混淆而已 最终浏览器是要能执行出原意并且执行跳转，完成 人机验证

毕竟 哪个CC攻 ...

技术流，膜拜

雨宫音羽

lry521 发表于 2017-4-6 19:39
这脚本毫无意义了

不 有意义的 这终究是混淆而已 最终浏览器是要能执行出原意并且执行跳转，完成 人机验证

毕竟 哪个CC攻击客户端没事会自带JavaScript引擎。又庞大而且效率低搞不好把自己跑死了

luwenrong

难道因为我的卡巴是盗版的？访问论坛完全没有反应