在搜狐网抓到的一个东东。

熊猫烧书

楼主还记得这个链接地址是具体在搜狐的哪个页面么？浏览器的历史记录里有么？

shanghaiplmm

诺顿的拦截图和分析图：


诺顿报警的页面：http://tv.sohu.com/news/

根据诺顿分析给出的地址：

http://cs.focus.cn/zhuanti15/house_changshazuixindazheloupan

vdmcontrol

网站确实被挂马了，但不是为了网页挂马，应该是搜狐的工作人员电脑中毒了，这段代码是病毒自动感染了本地页面

因为是针对本地页面的感染，对正常配置的IE是没有影响的，用IE浏览器打开这个网页，你会发现左下角有个错误提示，打开无法创建对象Scripting.FileSystemObject，这就是因为正常配置的IE安全性是不允许这个恶意代码运行的。

不过一些特殊配置的低安全性IE会有问题，或者你把页面本地打开并允许脚本执行，就会触发恶意代码运行。

bb19491001

vdmcontrol 发表于 2015-2-25 19:20
网站确实被挂马了，但不是为了网页挂马，应该是搜狐的工作人员电脑中毒了，这段代码是病毒自动感染了本地页 ...

其它浏览器如火狐或者chrome呢？

vdmcontrol

bb19491001 发表于 2015-2-25 19:31
其它浏览器如火狐或者chrome呢？

对于这个，其他核心浏览器都不受影响，因为感染的是VB代码，其他浏览器不支持VBSCRIPT

vdmcontrol

sohu的工作人员应该是感染了Ramnit这个感染型蠕虫

Win32/Ramnit infects HTML document files with .html or .htm extensions. The infected HTML files might be detected as Virus:VBS/Ramnit.A or by another similar detection name. The infected HTML files have an appended VBScript. When the infected HTML file is loaded by a web browser, the VBScript might drop a copy of Win32/Ramnit as %TEMP%\svchost.exe and then run the copy.

介零之

ericdj

BD拦截

bb19491001

vdmcontrol 发表于 2015-2-25 19:36
对于这个，其他核心浏览器都不受影响，因为感染的是VB代码，其他浏览器不支持VBSCRIPT

谢谢解答。

a908499916

卡巴斯基安全软件
拒绝访问
无法访问该网页

对象 URL：

https://att.kafan.cn/forum.php?mo ... DU0NDI4M3wxODEyMDc3

原因：

对象感染源 Trojan-Dropper.VBS.Agent.bp

消息生成日期: 2015/2/25 19:56:02