2007年6月24日星期日

myrice的“杀毒软件”广告?

今天到处乱逛,偶然发现了某网站上方有一段奇异的广告。

病毒?我用Firefox浏览器上网,一段HTML/JS代码不可能发现系统中的任何病毒的存在,怎么回事?我上去看了看。

http://killer.www.myrice.com? 老站myrice的垃圾广告?嗯嗯。果然是要收费的鬼东西。而且那只鸽子(估计代表灰鸽子)右边描述上还说感染可执行文件,其实灰鸽子绝对不会。点任何链接都出现一提示窗口:

随意乱输个肯定不存在的号码(13123456789),点击那个“立即杀毒”居然没反应。看来不支持Firefox。

察看源代码,找到关键脚本http://killer.www.myrice.com/js/sn.js。

其中最后的代码
window.onload=function()
{
 var c=document.getElementById("mb");
 c.focus();
 document.getElementById("send").onclick= function()
 {
   if(!cm(c.value))
   {
   alert("请输入一个正确的手机号码。");
   c.select();
   }
   else
   {
    //document.getElementById("Msg").innerHTML=""
    var args= (location.toString().indexOf("?")>0)?location.toString().split("?")[1]:"";
//   var src = "./SendPre.aspx?mobile="+c.value+"&"+args;
//   window.open (src);
    document.getElementById("sFr").src= "./SendPre_n.aspx?mobile="+c.value+"&"+args;

    document.getElementById("softurl").value= "./Success.html?"+args;
    document.getElementById("state").value="1";
    document.getElementById("p1").style.display="none";
    document.getElementById("info1").style.display="block";
    document.getElementById("info2").style.display="none";
    document.getElementById("sFr").style.display="block";
//   document.getElementById("Msg").style.fontSize=11;
   }
 }
}
意思估计是把手机号给提交到sendpre.aspx和sendpre_n.aspx。我把13123456789提交进去,看到了这个要求发短信订阅xxx的东西。再一看源代码,其中有:
http://60.28.197.23:8082/gdvnet/soft.jsp

打开一看,。。。。。

试着下载那个setup.exe,

一运行原来是优化大师的安装程序。哈哈,这个序列号现在天下皆知了!

再试success.html,发现是一个下载Ahnlab杀毒软件的真正链接。Ahnlab是洋东西,以前曾经试用过,杀国内的盗号赚钱马、卡巴瑞星免杀马,还是不如我可信赖的小红伞。好像这个在国内几乎没一点名气。
whois了那个下载链接(http://download.rekudd.com/ahnlab_securitypack.exe)的域名,
Domain Name:rekudd.com


Registrant:
jiukukeji
beijing
100022



Administrative Contact:
shan xueyi
jiukukeji
beijing
beijing Beijing 100022
China
tel: 86 010 58622020 619
fax: 86 010 58622972
xy.shan@zcominc.com

Technical Contact:
shan xueyi
jiukuku
dongsanhuanzhonglu55
beijing Beijing 100022
China
tel: 86 01 58622020 619
fax: 86 01 58622972
xy.shan@zcominc.com

Billing Contact:
shan xueyi
jiukuku
dongsanhuanzhonglu55
beijing Beijing 100022
China
tel: 86 01 58622020 619
fax: 86 01 58622972
xy.shan@zcominc.com

Registration Date: 2007-05-09
  Update Date: 2007-05-09
Expiration Date: 2008-05-09

Primary DNS:  ns.xinnetdns.com  210.51.170.66
Secondary DNS:  ns.xinnet.cn  210.51.171.209

果然是myrice的老板zcom所有。看来ahnlab是做错了决定,让这样一个国内臭名昭著的公司来推广杀毒软件。
切记:任何浏览器的脚本引擎本身的力量,都不可能发现病毒。
发帖者 时间:

没有评论:

发表评论

订阅: 博文评论 (Atom)