曾经在2008年闹得凶猛的Fakecodec(Trojan/Zlob,http://en.wikipedia.org/wiki/Zlob_trojan)在2009年逐渐消停之后其实并没有歇着,因为2008年那会儿他们只是单单的用JavaScript弹出来一个假的不成样子的对话框,告诉用户如果你要看片,装ActiveX插件,其实这个插件就是病毒了,但是现在悲剧的是FakeCodec官网已经升阶到2.0版本了……

本文来自www.sacour.cn 转载注明来源

截图:
点击查看下一张

2.0版本主要是把那个骗不了人的JavaScript改成了一个swf文件,播放不到5秒的预览版,然后依旧是一个对话框,这回不是缺少插件,而是直接跟你说插件出错了,让你“Fix it”,难不成是链接嵌在SWF里面了吗?不过SWF代码挺简单:

   function frame1(){
      var _URLtoGo : String;
//       .........
       _URLtoGo = String(stage.loaderInfo.parameters.go_url);
//      .........
        public function onClickRepair(param1:Event) : void
        {
            navigateToURL(new URLRequest(_URLtoGo));
            return;
        }}

原来是先读"go_url"这个参数,然后再去弹个窗口。go_url在哪儿? 网页源代码里面能找到:
   var so = new SWFObject("player/neo_player.swf", "neo_play", "450", "369", "8", "#FFFFFF");
   so.addVariable("img_url", "thumbs/teens/thumbs/teens/79.jpg");
   so.addVariable("go_url", 'hXXp://red-xxx-tube.net/cgi-bin/setuppatch.pl?adv=00000000');
   so.write("playMov");

当然,这个肯定是木马地址了。值得一提的是这个域名和FakeAlert(http://en.wikipedia.org/wiki/Trojan.FakeAlert)的域名解析到同一IP,不用想绝对是同一(伙)人所为,而且上面下载回来的也不是FakeCodec,而是正宗的FakeAlert,并且还是存在了很久的恶意网站for-sunny-se.com旗下的一员。怎么说呢,碰到了的话不要随便安装它的“插件”就好。