今天我在空间中回复别人评论的时候,不断弹出要输入验证码。然后,我就收到下面这封邮件了。
那个点击此提交申请实际是假的,没有加任何链接,有用的就是 url.%62%69%74%2E%6C%79/yjSkyt 这个字串,
它是经过url编码了,实际对应的地址是url.bit.ly/yjSkyt,经过我查看,这个地址对应的地址是:
go.tet[风子加的]eku.com/app/go/url.php?http://serneic-tx.s.3322.net:99/service/sy,然后它对应的源码是:
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title></title><meta http-equiv="refresh" content="0;URL=http://cnr[风子加的]dn.com/rd.htm?id=1095123&r=http%3A%2F%2Fserneic-tx.s.3322.net%3A99%2Fservice%2Fsy" />
</head><body>
<SCRIPT LANGUAGE="JavaScript">
function openurl(){ ggaa.launchURL('http://www.gun[风子加的]tian.com/video/XMjUxMTA4ODI0.html#c'); }
function openinit(){
document.body.innerHTML += '<object id="ggaa" width="0" height="0" classid="CLSID:6BF52A52-394A-11' + 'D3-B153-00C04F79FAA6"></object>'; }
eval("window.attachEvent('onload',openinit);");
eval("window.attachEvent('onunload',openurl);");
</script>
</body>
</html>0秒后转到http://cnr[风子加的]dn.com/rd.htm?id=1095123&r=http%3A%2F%2Fserneic-tx.s.3322.net%3A99%2Fservice%2Fsy 这个地址,
同步弹一个窗口,再下去估计就会有木马什么的了,我就没有跟踪了。。
留下你的看法: