在老同学的博客上看到这么一则消息:“腾讯八周年升级活动已经出来了,和百度合作,轻松升到30级”。第一反应当然知道这是骗人的,QQ升级的骗局见多了,很多页面的源代码上都注明了“只为获取流量,与腾讯无关”。可是,一看网址,觉得奇怪了;网址真的是百度的:http://imgnews.baidu.com/ir?t=1&u=&f=%68%74%74%70%3A%2F%2F%71%71%2D%72%2E%63%6E?QQ=49451441。难道百度真的推出了QQ升级?
仗着最安全的Firefox浏览器,我点下了这个网址。不出所料,出现了经典的QQ号码输入界面。抬头一看网址,变成了http://qq-r.cn/?QQ=494514416。咦,百度又出现跨站漏洞了?
先看看百度服务器返回的数据吧。手头没有nc,也不想抓包,就在记事本里构造好HTTP请求包,用telnet.exe提交(命令为telnet imgnews.baidu.com 80)看看:
居然返回了302重定向,而f=后面那串数据解码后正是http://qq-r.cn/?QQ=494514416。用别的网址替换f=参数试一试,同样会302重定向:
看来百度这次的漏洞可比以前的搜索关键字处跨站严重得多了,可以直接重定向。
且不说百度这个漏洞,先看看qq-r.cn这个页面有没有问题。查看源代码:
宽高均为0的iframe,显然有问题。既然我用的是Firefox,不怕中毒,就打开new99.htm!是一个空白网页,同样查看源代码:
这个页面到外部的调用只有一个51.la的统计,木马显然就隐藏在这些加密数据里。但是Firefox不能运行VBScript,怎么才能知道真实地址呢?我想到了可以运行VBScript的ASP。把代码稍稍整理一下,去掉可能有危险性的Execute和Eval,在script标签中加上runat="server",用Response.Write直接输出解密结果。木马的地址现形了:
从目录名看,是一个会在局域网内发起ARP攻击的木马。尝试用FlashGet下载这个木马,马上被Symantec报告为W32.SillyFDC病毒。不过,看看解密后的代码,发现脚本下载木马的方式就是用XMLHTTP和FSO,而没有用浏览器溢出,这种下载方法很多年前就失效了,怪不得我老同学保证“这个网址肯定是没有毒”。
至此,所谓“百度推出QQ升级”的说法已经被揭穿了。万一网马用了比较新的漏洞,就会有很多人看着是百度而中招了;人在网络,还是要多多小心,就是百度也不能放松警惕啊。