hxxp://juetuzhi.net/2011/07/misc-pictures-468.html【挂马】【by always】

499724595

http://juetuzhi.net/2011/07/misc-pictures-468.html
360急速版游览器访问报毒
在这个网址上面的超链接，就是“爆笑囧图大杂烩http://hao.360.cn/youmoxiaohua.html?id=752

十送鸿钧

360网站监测中心
检测网址：hxxp://juetuzhi.net/2011/07/misc-picture...      当前状态：危险
该网站被检测出含有恶意内容！

always

关于:hxxp://juetuzhi.net/2011/07/misc-pictures-468.html解密的日志(全体输出 -  11):

Level  0>hxxp://juetuzhi.net/2011/07/misc-pictures-468.html
Level  1>hxxp://momo.com.cn/edit/GetWebServiceNav
Level  2>hxxp://momo.com.cn/edit/GetWebServiceNav?UpdatedPage=aGlqYWNr
Level  2>hxxp://lo97.3322.org:321/wm/w.htm
Level  3>hxxp://lo97.3322.org:321/wm/nb.html
Level  4>hxxp://lo97.3322.org:321/wm/2.htm
Level  5>hxxp://lo97.3322.org:321/wm/yy.html
Level  6>hxxp://lo97.3322.org:321/wm/y2.js
Level  6>hxxp://lo97.3322.org:321/wm/y1.js
Level  6>hxxp://222.186.50.35:321/pp.exe ●
Level  4>hxxp://lo97.3322.org:321/wm/1.htm

日志由 Redoce2.1第25次修正版于 2011-7-27 下午 08:38:07 生成。

hj5abc

avast! kill

Win32:Rootkit-gen [Rtk]

也不知道谁

hj5abc 发表于 2011-7-27 21:24
avast! kill

Win32:Rootkit-gen [Rtk]

我的avast！木有反应啊。。。。

hj5abc

也不知道谁 发表于 2011-7-27 22:48
我的avast！木有反应啊。。。。

我测的是3L的pp.exe～

也不知道谁

hj5abc 发表于 2011-7-27 22:57
我测的是3L的pp.exe～

额。。怪不得。。一般这种情况。。。是不是就是整个网页不一定都有马，需要点击到某个东西了，比如说图片，木马才会被下载？

hj5abc

也不知道谁 发表于 2011-7-27 23:46
额。。怪不得。。一般这种情况。。。是不是就是整个网页不一定都有马，需要点击到某个东西了，比如说图 ...

不一定
这又可能，更多是因为某个高危漏洞被利用，访问网页后后台下载木马
如果该打的补丁打了或者非IE，很少会有问题

也不知道谁

hj5abc 发表于 2011-7-27 23:50
不一定
这又可能，更多是因为某个高危漏洞被利用，访问网页后后台下载木马
如果该打的补丁打了或者非IE ...

哦~~~我一直不明白，漏洞攻击是什么意思，跟木马有什么关系，是木马之类的被下载下来，然后利用漏洞自动提权和运行么？还是连偷偷下载都算是利用漏洞？？

hj5abc

也不知道谁 发表于 2011-7-27 23:54
哦~~~我一直不明白，漏洞攻击是什么意思，跟木马有什么关系，是木马之类的被下载下来，然后利用漏洞自动提 ...

当你访问挂马网页时IE执行了某段含有漏洞利用的代码(shellcode)，这些代码执行后因为你系统某个组件的漏洞而造成溢出从而实现自动下载指向的木马并执行，或者利用其提权完成某些操作。。

我了解的不多，只能大概跟你这么说。