唉！木马地址换新加密方式

molicn

发现一些老地址用了新的加密方式 ，没提取到病毒你们去试下
Log is generated by FreShow.
[wide]http://games.enet.com.cn/zhuanti/photo/
    [script]http://games.enet.com.cn/zhuanti/egamestop.js
        [script]http://www.sjzsw.cn/includes/js/tops.js
    [frame]http://games.enet.com.cn/zhuanti/war3/tj.html
    [frame]http://www.hby006.cn/b4.htm
        [frame]http://jzm015.cn/fxx.htm
            [frame]http://jzm015.cn/fx.htm
            [frame]http://sp-6.cn/a1/ms06014.htm
                [frame]http://sp-6.cn/purchase.php
                    [script]http://forsale.dnparking.com/?sp-6.cn
                [frame]http://searchportal.home.dnparking.com/?a_id=20854&domainname=referer_detect&exit=off
                [frame]http://sp-6.cn/frame.php
            [frame]http://sp-6.cn/a1/GLWORLD.html
            [frame]http://jzm015.cn/sina.htm
            [frame]http://sp-6.cn/a1/ss.html
            [frame]http://sp-6.cn/a1/Thunder.html
            [frame]http://sp-6.cn/a1/real.htm
            [frame]http://sp-6.cn/a1/Real.html
        [script]http://js.users.51.la/1936348.js
    [script]http://frame.enet.com.cn/a.php
    [script]http://others.enet.com.cn/count/count.php?id=399

以前可以解密的。现在换成这样的代码有点怪怪的 ，没仔细去分析给各位分析了

<html><head><title>sp-6.cn</title><META NAME="ROBOTS" CONTENT="NOARCHIVE"></head><frameset rows="18,90%,12" frameborder=no framespacing=0><frame src='/purchase.php' frameborder=0>
<frame src="http://searchportal.home.dnparking.com/?a_id=20854&domainname=referer_detect&exit=off">
<frame src="/frame.php" frameborder=0></frameset></html>

sbbdms

先把网马打个包先……

sbbdms

卡巴杀1漏10

已删除：木马程序 Trojan-Downloader.HTML.IFrame.tm        文件　: D:\TDDownload\其它\新建文件夹\11.rar/sina.htm

TO KL

fzz8848

Begin scan in 'C:\Documents and Settings\Andy\桌面\11.rar'
C:\Documents and Settings\Andy\桌面\11.rar
    [0] Archive type: RAR
    --> b4.htm
      [DETECTION] Contains recognition pattern of the HTML/Downloader.Gen HTML script virus
    --> fx.htm
      [DETECTION] Contains HEUR/HTML.Malware suspicious code
    --> fxx.htm
      [DETECTION] Contains recognition pattern of the HTML/Downloader.Gen HTML script virus
    --> sina.htm
      [DETECTION] Is the TR/Dldr.HTML.IFrame.TM Trojan
    [NOTE]      The file was deleted!

电影结束了

http://down.hs7yue.cn/down/sina.exe
毒是这个。。。
不过其它的不知道是啥东西。。。
MS被人用漏洞改过了~

qigang

其实换房不换药。老东西、

woai_jolin

2008-8-27 22:39:05        HTTP filter        file        http://down.hs7yue.cn/down/sina.exe        Win32/PSW.QQShou trojan        connection terminated - quarantined        D9C309470A8A424\Administrator        Threat was detected upon access to web by the application: C:\Program Files\Internet Explorer\iexplore.exe.

e54hacker

域名停放?

啊弥陀佛

微点拦截

f-secure扫描只查出来一个（都是卡巴的错）
实机运行病毒全部拦截