收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 网络安全(毒网分析) 假装-该页无法显示的半老不新的网马~
12下一页
返回列表 发新帖
查看: 4004|回复: 17
收起左侧

[已鉴定] 假装-该页无法显示的半老不新的网马~

 关闭 [复制链接]
ly5360
发表于 2008-2-11 08:59:24 | 显示全部楼层 |阅读模式
我是通过我的IP邻居查询与xxx.haoqq1680.com同一主机的域名。于是得到以下几个域名信息;

SpxImage1.gif
第2和3个,我已经封了。唯独chanm.cn没封。。于是访问www.chanm.cn。。。。。

不注意看还以为真的是该页无法显示呢~
SpxImage2.gif
嘿嘿,不过我用的是IE7....这个该页无法显示的样式应该是IE6的。。于是感觉有问题。。

后来用FS分析。得到以下结果。。

Log is generated by FreShow.
[wide]http://www.chanm.cn/
    [script]http://j921.cn/a.js
        [frame]http://chanm.cn/zj.asp
            [frame]http://1.100190.com/dl1.htm?07老东西
        [frame]http://xxx.hao1680.com/xx.htm?id=049老东西
回复

举报

sb
发表于 2008-2-11 09:47:41 | 显示全部楼层
我也遇到过这样的情况,可是杀毒软件并没有报警呀?
回复

举报

沸沸
发表于 2008-2-11 10:45:04 | 显示全部楼层
haha,这个有意思
回复

举报

Palkia
发表于 2008-2-11 11:23:06 | 显示全部楼层
好笑~费尔报~
回复

举报

Graybird
发表于 2008-2-11 11:41:55 | 显示全部楼层
The file 'a.js' has been determined to be 'UNDER ANALYSIS'.

上报~
回复

举报

tanlimo
发表于 2008-2-11 12:03:45 | 显示全部楼层
的确都是老东西

UncryptHTML自动分析

-> http://www.chanm.cn/ - 未发现标志
   -> http://j921.cn/a.js - 未发现标志
      -> http://chanm.cn/zj.asp - 未发现标志
         -> http://1.100190.com/dl1.htm?07 - 未发现标志
            -> http://1.100190.com/d/d.htm - 字符串拆分,
               -> http://1.100190.com/d/Ajax.gif - 忽略的URL
               -> http://1.100190.com/d/Ms06014.htm - 字符串拆分,
                  -> http://1.111281.com/down.exe - 提示的URL
               -> http://1.100190.com/d/Real.js - Escape, \x, Alpha2,
               -> http://1.100190.com/d/Bfyy.gif - 忽略的URL
               -> http://1.100190.com/d/Pps.gif - 忽略的URL
               -> http://1.100190.com/d/XunLei.gif - 忽略的URL
               -> http://1.100190.com/d/Lz.gif - 忽略的URL
               -> http://1.100190.com/d/QVod.html - Escape, \x, 字符串拆分,
            -> http://js.users.51.la/1631832.js - 无法访问
         -> http://count30.51yes.com/click.aspx?id=304820891&logo=12 - 未发现标志
            -> http://count.51yes.com/index.aspx?id=304820891 - 未发现标志
               -> http://ad.51yes.com/t12.htm - 未发现标志
               -> http://count.51yes.com/ - 未发现标志
                  -> http://ad.51yes.com/t12.htm - 未发现标志
                  -> http://count.51yes.com/ - 未发现标志
                     -> http://ad.51yes.com/t12.htm - 跳过
                     -> http://count.51yes.com/ - 跳过
                     -> http://demo.51yes.com/all.aspx - 跳过
                     -> http://ad.51yes.com/a1-a6.htm - 跳过
                     -> http://ad.51yes.com/ad.htm - 跳过
                     -> http://ad.51yes.com/a7-a12.htm - 跳过
                     -> http://ad.51yes.com/a13-a18.htm - 跳过
                     -> http://demo.51yes.com/area.aspx - 跳过
                     -> http://demo.51yes.com/area.aspx - 跳过
                     -> http://demo.51yes.com/search.aspx - 跳过
                     -> http://demo.51yes.com/search.aspx - 跳过
                     -> http://ad.51yes.com/a19-a21.htm - 跳过
                     -> http://ad.51yes.com/a22-a24.htm - 跳过
                     -> http://demo.51yes.com/location.aspx - 跳过
                     -> http://demo.51yes.com/location.aspx - 跳过
                     -> http://demo.51yes.com/day.aspx - 跳过
                     -> http://demo.51yes.com/day.aspx - 跳过
                     -> http://ad.51yes.com/ad.htm - 跳过
                     -> http://count1.51yes.com/click.aspx?id=10002&logo=1 - 跳过
                  -> http://demo.51yes.com/all.aspx - 跳过
                  -> http://ad.51yes.com/a1-a6.htm - 跳过
                  -> http://ad.51yes.com/ad.htm - 跳过
                  -> http://ad.51yes.com/a7-a12.htm - 跳过
                  -> http://ad.51yes.com/a13-a18.htm - 跳过
                  -> http://demo.51yes.com/area.aspx - 跳过
                  -> http://demo.51yes.com/area.aspx - 跳过
                  -> http://demo.51yes.com/search.aspx - 跳过
                  -> http://demo.51yes.com/search.aspx - 跳过
                  -> http://ad.51yes.com/a19-a21.htm - 跳过
                  -> http://ad.51yes.com/a22-a24.htm - 跳过
                  -> http://demo.51yes.com/location.aspx - 跳过
                  -> http://demo.51yes.com/location.aspx - 跳过
                  -> http://demo.51yes.com/day.aspx - 跳过
                  -> http://demo.51yes.com/day.aspx - 跳过
                  -> http://ad.51yes.com/ad.htm - 跳过
                  -> http://count1.51yes.com/click.aspx?id=10002&logo=1 - 跳过
               -> http://demo.51yes.com/all.aspx - 跳过
               -> http://ad.51yes.com/a1-a6.htm - 跳过
               -> http://ad.51yes.com/ad.htm - 跳过
               -> http://ad.51yes.com/a7-a12.htm - 跳过
               -> http://ad.51yes.com/a13-a18.htm - 跳过
               -> http://demo.51yes.com/area.aspx - 跳过
               -> http://demo.51yes.com/area.aspx - 跳过
               -> http://demo.51yes.com/search.aspx - 跳过
               -> http://demo.51yes.com/search.aspx - 跳过
               -> http://ad.51yes.com/a19-a21.htm - 跳过
               -> http://ad.51yes.com/a22-a24.htm - 跳过
               -> http://demo.51yes.com/location.aspx - 跳过
               -> http://demo.51yes.com/location.aspx - 跳过
               -> http://demo.51yes.com/day.aspx - 跳过
               -> http://demo.51yes.com/day.aspx - 跳过
               -> http://ad.51yes.com/ad.htm - 跳过
               -> http://count1.51yes.com/click.aspx?id=10002&logo=1 - 跳过
      -> http://xxx.hao1680.com/xx.htm?id=049 - 跳过

[ 本帖最后由 tanlimo 于 2008-2-11 12:29 编辑 ]
回复

举报

费饭饭
发表于 2008-2-11 12:07:20 | 显示全部楼层
原帖由 ly5360 于 2008-2-11 08:59 发表
我是通过我的IP邻居查询与xxx.haoqq1680.com同一主机的域名。于是得到以下几个域名信息;

198893
第2和3个,我已经封了。唯独chanm.cn没封。。于是访问www.chanm.cn。。。。。

不注意看还以为真的是该页无法显 ...
怎么用fs分析???
回复

举报

醉一生爱妍
发表于 2008-2-11 13:13:25 | 显示全部楼层
-> http://www.chanm.cn/ - 未发现标志
   -> http://j921.cn/a.js - 未发现标志
      -> http://chanm.cn/zj.asp - 未发现标志
         -> http://1.100190.com/dl1.htm?07 - 未发现标志
            -> http://1.100190.com/d/d.htm - 字符串拆分,
               -> hxxp://1.100190.com/d/Ajax.gif - 忽略的URL
               -> http://1.100190.com/d/Ms06014.htm - 字符串拆分,
                  -> http://1.111281.com/down.exe - 提示的URL
               -> http://1.100190.com/d/Real.js - Escape, \x, Alpha2,
               -> hxxp://1.100190.com/d/Bfyy.gid - 忽略的URL
               -> hxxp://1.100190.com/d/Pps.gif - 忽略的URL
               -> hxxp://1.100190.com/d/XunLei.gif - 忽略的URL
               -> hxxp://1.100190.com/d/Lz.gif - 忽略的URL
               -> http://1.100190.com/d/QVod.html - Escape, \x, 字符串拆分,
            -> http://js.users.51.la/1631832.js - Escape,
               -> http://vip2.51.la/go.asp?we=A-Fr ... &id=1631832&tpages=\ - 无法访问
         -> http://count30.51yes.com/click.aspx?id=304820891&logo=12 - 跳过
      -> http://xxx.hao1680.com/xx.htm?id=049 - 跳过

[ 本帖最后由 qianwenxiang 于 2008-2-11 15:58 编辑 ]
回复

举报

tanlimo
发表于 2008-2-11 13:38:03 | 显示全部楼层

回复 8楼 garyyan456 的帖子

估计会有很多人进这帖时报毒
回复

举报

qigang
发表于 2008-2-11 13:44:36 | 显示全部楼层

回复 9楼 tanlimo 的帖子

瑞星病毒查杀结果报告

清除病毒种类列表:

病毒: Trojan.Win32.Edog.k      

MAC 地址:00:11:5B:F3:6D:69

用户来源:互联网

软件版本:20.30.60

virus.rar

43.97 KB, 下载次数: 48

这只狗是无处不在呐!
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-4-24 05:39 , Processed in 0.132944 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表