hxxp://bbs.texnet.com.cn/lzg/ac/ie.html （挂马 by zuo)

显示全部楼层 · 发表于 2011-8-29 20:59:40

hxxp://bbs.texnet.com.cn/lzg/ac/ie.html

捕获1.PNG

hxxp://bbs.texnet.com.cn/lzg/ac/9.exe

显示全部楼层 · 发表于 2011-8-29 21:40:55

显示全部楼层 · 发表于 2011-8-30 22:16:55

9.EXE为XOR过的加密文件，单独无法运行

显示全部楼层 · 发表于 2011-8-31 14:43:24

eav拦截

显示全部楼层 · 发表于 2011-8-31 22:56:53

GDATA KILL

显示全部楼层 · 发表于 2011-9-3 08:54:57

卡巴斯基拦截

显示全部楼层 · 发表于 2011-9-6 17:26:39

类别：入侵防护
日期和时间,风险,活动,状态,推荐的操作,IPS 警报名称,默认操作,采取的操作,攻击电脑,攻击者网址,目标地址,源地址,通信说明
2011/9/6 17:23:59,高,阻止了 bbs.texnet.com.cn 的入侵企图,已阻止,不需要操作,HTTP IE Attribute Handler Code Exec,不需要操作,不需要操作,"bbs.texnet.com.cn (204.152.206.155, 80)",bbs.texnet.com.cn/lzg/ac/ie.html,"KLINXUN-PC (113.71.55.209, 51916)",204.152.206.155 (204.152.206.155),"TCP, www-http"
来自 bbs.texnet.com.cn 的网络通信与已知攻击的特征相匹配。攻击由 \DEVICE\HARDDISKVOLUME3\PROGRAM FILES (X86)\OPERA\OPERA.EXE 引起。要停止接收有关此类通信的通知，请在“操作”面板中单击“不再提醒我”。来自 bbs.texnet.com.cn/lzg/ac/ie.html 的网络通信与已知攻击的特征相匹配。攻击由 \DEVICE\HARDDISKVOLUME3\PROGRAM FILES (X86)\OPERA\OPERA.EXE 引起。要停止接收有关此类通信的通知，请在“操作”面板中单击“不再提醒我”。

显示全部楼层 · 发表于 2011-9-22 19:47:42

AVG拦截

[其它] hxxp://bbs.texnet.com.cn/lzg/ac/ie.html （挂马 by zuo)