新鮮毒網 最新的【clean】【by 疯狂的小鬼】

港岛妹妹

hxxp://js.ta80.com/js/cp.js


2011-11-15 13:29:34        HTTP 过滤器        文件        hxxp://js.ta80.com/js/cp.js        HTML/ScrInject.B.Gen 病毒        连接中断 - 已隔离        GOV\Administrator        通过应用程序访问 web 时检测到威胁: M:\*******Internet.exe.



你的攔截了嗎？

幸福的猪猪

我个人觉得，此拦截应该属于错误检测。

港岛妹妹

幸福的猪猪 发表于 2011-11-15 16:29
我个人觉得，此拦截应该属于错误检测。

理由

港岛妹妹

P地址: hxxp://js.ta80.com/js/cp.js 详细地址： IANA保留地址 hxxp://js.ta80.com/js/cp.js 的检测结果
您所提交的网站存在高危安全风险
没有发现页面挂马

修改hxxp且禁用链接识别

疯狂的小鬼

1.脚本没问题；
2.一般需检测请尽量给出是什么网页，单独给一个脚本可能并不能完全得知页面信息；
因为有时候，一个页面的网马的判断是多个脚本配合的，仅有一个可能会判断错误。
上一条的判断仅基于该脚本。
3.您好，虽然看到您在该帖里将http改成了hxxp，但楼主忽略了您所复制的安全软件日志的时候还有一个超链接；
同理，有时候在回复他人的帖子中，由于论坛会显示他人原本帖子的链接，而导致超链接的出现，这些都是需要避免的。
有的时候恶意威胁也是在明明“小心翼翼”像这样进入用户的电脑，可以从此更加提高相关意识。

幸福的猪猪

25743512 发表于 2011-11-15 17:44
理由

应该是最后那两个js，导致的错误检测。（把cp.js下载到本地磁盘，用记事本打开，删除以下那些代码。然后，再用你电脑上的安全软件，再扫描一次。看是否还会报毒）

document.writeln("<script src=\"hxxp://%77%77%77%2E%6B%33%6B%32%2E%63%6F%6D/log_4w.js\"></script>");
document.writeln("<script src=\"hxxp://%77%65%62%2E%6B%33%6B%32%2E%63%6F%6D/log.js\"></script>");

从上面两个js，随机下载一个，用记事本打开，就可以看到其中一个地址：（比如，下面那个地址。把其复制到浏览器的地址栏打开，你就知道是怎么回事了）

hxxp://web.k3k2.com/count/Default.aspx?tid=19

p.s. 那两个js，应该是用来弹广告的。（赚取收入？）

dayang1717

无补丁IE下，访问，没发现中马的迹象