又见天翼挂马，还是恶意推广，大家来瞧瞧？

显示全部楼层 · 发表于 2017-3-1 13:58:30

本帖最后由 zhou0197 于 2017-3-2 21:27 编辑

肇事网站有3个，来自AVG对天翼客户端推广的拦截：
hXXp://www.web-3g.net/index.html
hXXp://www.yjykc.cn/op.html
hXXp://222.186.150.192:8383/index.html

不要随便点哦……需要测试的，改成http。

最后一个网址的html文件：

其中混淆的JS代码部分解密后结果：

涉及到的病毒文件，1个vbs和1个exe下载器：

肇事的天翼客户端：http://pan.baidu.com/s/1hrMzOuo

求助者来自江苏南通，预计全江苏省高校大规模爆发……

欢迎测试哦…………

显示全部楼层 · 发表于 2017-3-1 14:06:25

单位电脑就不测试了，感觉挂马的可能性更大，国企嘛，亏钱不照样过日子，何必做这种小动作。

显示全部楼层 · 发表于 2017-3-1 14:06:38

Kaspersky对三个网址的检测

01.03.2017 14.04.34;Detected object (file) cannot be disinfected;

;

;HEUR:Trojan.Script.Iframer;Trojan program;03/01/2017 14:04:34
01.03.2017 14.04.52;Detected object (file) cannot be disinfected;http://www.yjykc.cn/op.html;http://www.yjykc.cn/op.html;HEUR:Exploit.Script.Generic;Trojan program;03/01/2017 14:04:52
01.03.2017 14.05.11;Dangerous URL blocked;http://222.186.150.192:8383/inde ... 383/index.html;URL;URL listed in database of malicious URLs;360安全浏览器;03/01/2017 14:05:11

显示全部楼层 · 发表于 2017-3-1 14:09:01

换汤不换药。

显示全部楼层 · 发表于 2017-3-1 14:12:53

最后一个网址的html文件： index.rar

解密之后扫描卡巴不报

后两个vbs和exe（下载器？？）不报

未检测object上报

显示全部楼层 · 发表于 2017-3-1 14:18:07

XywCloud 发表于 2017-3-1 14:09
换汤不换药。

挂马地址都没改…………不知道啥情况。

显示全部楼层 · 发表于 2017-3-1 14:19:18

[mw_shl_code=css,true]2017/3/1 14:16:19 加载动态链接库允许
进程: c:\program files\internet explorer\iexplore.exe
目标: c:\windows\system32\wshom.ocx
规则: [应用程序]*

2017/3/1 14:16:57 创建新进程 (2) 允许
进程: c:\program files\internet explorer\iexplore.exe
目标: c:\windows\system32\cscript.exe
命令行: "C:\Windows\System32\cscript.exe" D:\explorer.vbs
规则: [应用程序]*

2017/3/1 14:17:00 向其他进程发送消息允许
进程: c:\windows\system32\conhost.exe
目标: c:\windows\system32\cscript.exe
消息: WM_SETICON
规则: [应用程序]*

2017/3/1 14:17:10 向其他进程发送消息 (2) 允许
进程: c:\windows\system32\conhost.exe
目标: c:\windows\system32\cscript.exe
消息: WM_GETICON
规则: [应用程序]*

2017/3/1 14:17:13 向其他进程发送消息允许
进程: c:\windows\system32\conhost.exe
目标: c:\windows\system32\cscript.exe
消息: WM_SETICON
规则: [应用程序]*

2017/3/1 14:17:16 向其他进程发送消息 (2) 允许
进程: c:\windows\system32\conhost.exe
目标: c:\windows\system32\cscript.exe
消息: WM_GETICON
规则: [应用程序]*

2017/3/1 14:17:18 向其他进程复制句柄允许
进程: c:\windows\system32\conhost.exe
目标: c:\windows\system32\cscript.exe
句柄: (Event) 0x00000088
规则: [应用程序]*

2017/3/1 14:17:22 加载动态链接库允许
进程: c:\windows\system32\cscript.exe
目标: c:\windows\system32\sechost.dll
规则: [应用程序]*

2017/3/1 14:17:25 加载动态链接库允许
进程: c:\windows\system32\cscript.exe
目标: c:\windows\system32\version.dll
规则: [应用程序]*

2017/3/1 14:17:28 加载动态链接库允许
进程: c:\windows\system32\cscript.exe
目标: c:\windows\system32\imm32.dll
规则: [应用程序]*

2017/3/1 14:17:37 加载动态链接库允许
进程: c:\windows\system32\cscript.exe
目标: c:\windows\system32\cryptbase.dll
规则: [应用程序]*

2017/3/1 14:17:42 加载动态链接库允许
进程: c:\windows\system32\cscript.exe
目标: c:\windows\system32\uxtheme.dll
规则: [应用程序]*

2017/3/1 14:17:47 加载动态链接库允许
进程: c:\windows\system32\cscript.exe
目标: c:\windows\system32\sxs.dll
规则: [应用程序]*

2017/3/1 14:17:51 加载动态链接库允许
进程: c:\windows\system32\cscript.exe
目标: c:\windows\system32\dwmapi.dll
规则: [应用程序]*

2017/3/1 14:17:53 加载动态链接库允许
进程: c:\windows\system32\cscript.exe
目标: c:\windows\system32\vbscript.dll
规则: [应用程序]*

2017/3/1 14:17:58 创建新进程允许
进程: c:\program files\internet explorer\iexplore.exe
目标: c:\windows\system32\werfault.exe
命令行: C:\Windows\system32\WerFault.exe -u -p 3536 -s 7580
规则: [应用程序]*

2017/3/1 14:18:03 从其他进程复制句柄允许
进程: c:\windows\system32\werfault.exe
目标: c:\program files\internet explorer\iexplore.exe
句柄: (Event) 0x00001DD4
规则: [应用程序]*

[/mw_shl_code]

显示全部楼层 · 发表于 2017-3-1 14:29:47

zhou0197 发表于 2017-3-1 14:18
挂马地址都没改…………不知道啥情况。

外包人员决定重新开始赚外快（只是YY，不要当真）

显示全部楼层 · 发表于 2017-3-1 14:38:06

本帖最后由 Dolby123 于 2017-3-1 14:59 编辑

卡巴拦截这地址, 然而卡巴不杀1.exe （双击1.exe ,确定是流氓了,已经看到一堆流氓安装游戏，快压，qq浏览器，uc浏览器，酷我音乐，好了我不跟你玩了，虚拟机快卡掉了)

http://zhaoyingsoft.oss-cn-hangzhou.aliyuncs.com/1.exe

显示全部楼层 · 发表于 2017-3-1 15:07:05

最后一个网址的html文件

Warning
A suspicious file/pattern was found on this website. Access to the website was blocked.
Requested URL:

hxxp://att.kafan.cn/forum.php?mod=attachment&aid=Mjg3MTQ2MnwwYzE0YjcxN3wxNDg4MzUxNDIwfDEwNDYzMTR8MjA3ODg4Mw%3D%3D
Information:

Contains recognition pattern of the HTML/MHT.Gen HTML script virus
Want to know more about this threat? Ask the community or get live help on Avira Answers.

1个vbs

Warning
A suspicious file/pattern was found on this website. Access to the website was blocked.
Requested URL:

hxxp://att.kafan.cn/forum.php?mod=attachment&aid=Mjg3MTQ2OHw4MjA4NTM0N3wxNDg4MzUxNDIwfDEwNDYzMTR8MjA3ODg4Mw%3D%3D
Information:

Contains recognition pattern of the HTML/Rce.Gen3 HTML script virus
Want to know more about this threat? Ask the community or get live help on Avira Answers.

1个exe下载器

Type: File
Source: C:\Users\Ivan\Downloads\1.exe
Status: Infected
Quarantine object: 46aefe33.qua
Restored: NO
Uploaded to Avira: NO
Operating system: Windows XP/VISTA Workstation/Windows 7
Search engine: 8.03.42.192
Virus definition file: 8.12.157.130
Detection: TR/Fuery.0a63ee (Cloud)
Date/Time: 1/3/2017, 15:03

其中混淆的JS代码部分解密后结果 >>> Miss

[病毒样本] 又见天翼挂马，还是恶意推广，大家来瞧瞧？

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源