Fallout的感染流程 感染进程剖析 上述感染流程称为偷渡式下载（drive-by download）。用户阅读歹意或受感染的网页时，歹意代码经过缝隙运用将歹意软件下载到受害者机器上。这种做法相对简略，用户只需阅读网页就能敞开感染进程，既不需要做任何额定的操作，也不需要经过用户的赞同。 为了抵达这一意图，缝隙运用东西包常常会损坏合法的网站，并经过运用各种web缝隙(有时运用XSS)将其感染，再经过一系列网页重定向后将用户导到东西包的登录页面。登陆页面是终究一个歹意页面，它会触发某个缝隙的运用代码。大多数此类网站都是制造成人内容的网站，由于这些网站很抢手，能为进犯者带来最大化感染。 经过查看PowerShell的父进程iexplore.exe，咱们能够看到受害者在阅读网页时运用的是Internet Explorer。

辨认用户拜访的链接 下图演示了前面说到的重定向进程。

在显现EK登陆页面之前进行的一系列重定向 经过运用WHOIS来查看域名的创立日期记载，咱们能够看到该域名是最近注册的，这点是可疑的。以保管在荷兰的“tracpadsforgame [.] info”的WHOIS记载（从DomainTools中获取）为例： 域名：TRACPADSFORGAME [.] INFO 注册表域ID：D503300000129283219-LRMS 注册商WHOIS服务器：whois.namecheap.com 注册商网址：www.namecheap.com 更新日期：2019-02-04 创立日期：2019-08-08 注册日期到期日：2019-08-08 而在曾经的进犯举动中，已有研究人员留意到过上述域名。在2月下旬，该域出现在了RIG EK和AZORult的配对组合中。 下面是保管在“tracpadsforgame [.] info”上的歹意重定向的代码片段。此链接在感染时运用，进犯者常常轮换链接。此代码段在一系列重定向中的其间一个页面上。 (function(h,o,t,j,a,r){ h.hj=h.hj||function(){(h.hj.q=h.hj.q||[]).push(arguments)}; h._hjSettings={hjid:623500,hjsv:5}; a=o.getElementsByTagName('head')[0]; r=o.createElement('script');r.async=1; r.src=t+h._hjSettings.hjid+j+h._hjSettings.hjsv; a.appendChild(r); })(window,document,'//static.hotjar.com/c/hotjar-','.js?sv='); › Check profit calculator » support » 代码的噪声中躲藏了一个歹意iframe符号。iframe会加载歹意域cantouchthis[.]xyz。 加载的cantouchthis[.]xyz页面包含了更多混杂的JavaScript代码。经过整理代码并提取相关的部分，得到如下片段。

JavaScript代码，阅读器指纹辨认 在代码的结尾，运用了eval函数。

JavaScript代码中的eval函数 eval函数编译并履行JavaScript代码。从历史上看，它既是JavaScript中最强壮的函数，也是被乱用最多的函数。

传递给eval函数的去混杂代码 上面的输出是另一组略微混杂过的代码，这段代码用于履行一系列阅读器查看，以确认受害者是否在运用某些特定的阅读器，假如不是就略过，假如查看经过，代码将动态生成一个额定的歹意iframe，以便在visits()中进一步重定向用户。下一个Base64字符串解码为hxxp://ad3[.]dogfunnyvideos[.]]xyz/mydoggystylewithyourkitty，这是用户被重定向到的当地。相似的进程或许重复发作，直到抵达终究的歹意页面。[1][2]黑客接单网