十年寒窗苦，一朝成名時(shí)。當(dāng)莘莘學(xué)子們終于完成了中考、高考，紛紛開(kāi)始查詢成績(jī)之時(shí)，黑客也瞄準(zhǔn)了這些學(xué)生和家長(zhǎng)們用來(lái)查分的網(wǎng)站，AVG中國(guó)實(shí)驗(yàn)室近期就監(jiān)測(cè)到了不少教育相關(guān)網(wǎng)站被掛馬，例如點(diǎn)擊率非常之高的“河北教育網(wǎng)”。

該網(wǎng)站主要為河北省的中考考生提供查分服務(wù)，而2012年河北省的中考考生總數(shù)為493254人，其中較多網(wǎng)絡(luò)便捷的學(xué)生和家長(zhǎng)都采用網(wǎng)上查分、網(wǎng)上擇校的方式，可想而知，該站點(diǎn)被掛馬將直接導(dǎo)致多少學(xué)生中招。

據(jù)AVG中國(guó)實(shí)驗(yàn)室的工作人員的研究分析，黑客通過(guò)給網(wǎng)站部分JS末尾被惡意添加一段加密代碼的方式，達(dá)到掛馬目的：

首頁(yè)http://www.hebjy.com/(如無(wú)安全軟件情況下，請(qǐng)勿點(diǎn)擊)

子頁(yè)面：http://www.hebjy.com/html/2012/07/050247369311.htm(如無(wú)安全軟件情況下，請(qǐng)勿點(diǎn)擊)

代碼進(jìn)行了簡(jiǎn)單的混淆，先解密，然后再用eval執(zhí)行document.write輸出的最終代碼。

解密后的代碼：

最終代碼：

掛馬的主要功能是打開(kāi)第三方的一個(gè)網(wǎng)站，并將其添加到瀏覽器快捷方式：

目前，該木馬已經(jīng)被AVG檢測(cè)為Js/Dropper，安裝最新版本的AVG的用戶可以得到提示，并安心上網(wǎng)。但是這里，AVG要提醒廣大學(xué)子，寒窗苦讀已是不易，一定要加強(qiáng)網(wǎng)絡(luò)安全意識(shí)，莫要在最后關(guān)頭因?yàn)闆](méi)有安裝或更新合適的殺毒軟件而造成不必要的損失。