http://bbs.itmop.com

mox

关于:hxxp://bbs.itmop.com/解密的日志(自动模式 -  19):

Level 006>http://baidu-jlk6.cn/b197729/../bfyy.htm
Level 006>http://baidu-jlk6.cn/b197729/../real10.htm
Level 006>http://baidu-jlk6.cn/b197729/real11.htm
Level 006>http://baidu-jlk6.cn/b197729/lzz.htm
Level 006>http://baidu-jlk6.cn/b197729/../as.htm
Level 006>http://baidu-jlk6.cn/b197729/fx.htm
Level 006>http://baidu-jlk6.cn/b197729/../14.htm
AUTO >http://bbs.itmop.com/header.js
AUTO >http://bbs.itmop.com/include/javascript/common.js
AUTO >http://bbs.itmop.com/
AUTO >http://cpro.baidu.com/cpro/ui/cp.js
AUTO >http://bbs.itmop.com/include/javascript/google.js
AUTO >http://bbs.itmop.com/forumdata/cache/google_var.js
AUTO >http://www.itmop.com/network/js/top.js
AUTO >http://www.google-analyticc.cn/q.js
AUTO >http://www.google-analyticc.cn/index.js
AUTO >http://baidu-jlk6.cn/b197729/b19.htm
AUTO >http://baidu-jlk6.cn/b197729/new.html
AUTO >http://222.78-1k.net/exe/bf.css
AUTO >http://dz.us.net/bak.css
AUTO >http://222.78-1k.net/exe/re.css
AUTO >http://222.78-1k.net/exe/ms.css
AUTO >http://222.78-1k.net/exe/as.cs

> 自动解密:初始化...
> 获取用户信息:输入待解密的网址..
> 代码: 获取代码:http://bbs.itmop.com/
= 长度:89665成功
> 目标确认:hxxp://bbs.itmop.com/
> 初步进行特定类型检测
> 解密: 转义符去除.
= [之前:89665 之后:89409] (完成)
> 解密: 转义符去除.
= [之前:89409 之后:89409] (无变化)
> 初步检测结束，进行后续解密
> 解密中 000>hxxp://bbs.itmop.com/
> 代码: 获取代码:http://bbs.itmop.com/
= 长度:89665成功
> 解密: 转义符去除.
= [之前:89665 之后:89409] (完成)
> 解密: 转义符去除.
= [之前:89409 之后:89409] (无变化)
! http://bbs.itmop.com/代码分析完毕,即将被移除。
> 解密中 001>hxxp://cpro.baidu.com/cpro/ui/cp.js
> 代码: 获取代码:http://cpro.baidu.com/cpro/ui/cp.js
= 长度:3637成功
> 解密: 转义符去除.
= [之前:3637 之后:3637] (无变化)
! http://cpro.baidu.com/cpro/ui/cp.js代码分析完毕,即将被移除。
> 解密中 001>hxxp://bbs.itmop.com/include/javascript/google.js
> 代码: 获取代码:http://bbs.itmop.com/include/javascript/google.js
= 长度:2025成功
> 解密: 转义符去除.
= [之前:2025 之后:2025] (无变化)
! http://bbs.itmop.com/include/javascript/google.js代码分析完毕,即将被移除。
> 解密中 001>hxxp://bbs.itmop.com/forumdata/cache/google_var.js
> 代码: 获取代码:http://bbs.itmop.com/forumdata/cache/google_var.js
= 长度:91成功
! http://bbs.itmop.com/forumdata/cache/google_var.js代码分析完毕,即将被移除。
> 解密中 001>hxxp://www.itmop.com/network/js/top.js
> 代码: 获取代码:http://www.itmop.com/network/js/top.js
= 长度:1027成功
> 解密: 转义符去除.
= [之前:1027 之后:1027] (无变化)
! http://www.itmop.com/network/js/top.js代码分析完毕,即将被移除。
> 解密中 002>hxxp://www.google-analyticc.cn/q.js
> 代码: 获取代码:http://www.google-analyticc.cn/q.js
= 长度:115成功
> 解密: 转义符去除.
= [之前:115 之后:115] (无变化)
! http://www.google-analyticc.cn/q.js代码分析完毕,即将被移除。
> 解密中 003>hxxp://www.google-analyticc.cn/index.js
> 代码: 获取代码:http://www.google-analyticc.cn/index.js
= 长度:2233成功
> 解密: 转义符去除.
= [之前:2233 之后:2233] (无变化)
! http://www.google-analyticc.cn/index.js代码分析完毕,即将被移除。
> 解密中 004>hxxp://baidu-jlk6.cn/b197729/b19.htm
> 代码: 获取代码:http://baidu-jlk6.cn/b197729/b19.htm
= 长度:179成功
! http://baidu-jlk6.cn/b197729/b19.htm代码分析完毕,即将被移除。
> 解密中 005>hxxp://baidu-jlk6.cn/b197729/new.html
> 代码: 获取代码:http://baidu-jlk6.cn/b197729/new.html
= 长度:1272成功
> 解密: 转义符去除.
= [之前:1272 之后:1221] (完成)
> 解密: 转义符去除.
= [之前:1221 之后:1221] (无变化)
! http://baidu-jlk6.cn/b197729/new.html代码分析完毕,即将被移除。
> 解密中 006>hxxp://baidu-jlk6.cn/b197729/../bfyy.htm
> 代码: 获取代码:http://baidu-jlk6.cn/b197729/../bfyy.htm
= 长度:2457成功
> 解密: %u转义符去除.
= [之前:2457 之后:1697] (完成)
> 解密: %u转义符去除.
= [之前:1535 之后:1535] (无变化)
!! 发现特定文件类型:http://222.78-1k.net/exe/bf.css
> 一次敏感退出，解密结束
- 解密结束
> 后续操作:解密步骤列表回溯

>存在于特定类型文件列表中的网址有:
>http://222.78-1k.net/exe/bf.css

mofunzone

Virus or unwanted program 'TR/Crypt.NSPI.Gen [trojan]'
detected in file 'C:\TDDOWNLOAD\bf.css.td.
Action performed: Delete file

tanlimo

自定义黑名单阻断

Palkia

病毒        2008-10-25  16:04:36        病毒在文件C:\Documents and Settings\Administrator\桌面\bf.css.td中        Win32.TrojDownloader.Agent.9970        处理成功（操作：删除）

kyotoair

avast搞定。

雨宫优子

似乎是上次那个入侵新华网那个...

电影结束了

ffee

今天去了好多挂马网站了，新换的sep没一次有反应，而我电脑也没有发现异常情况，何解？

woai_jolin

yinxuchina

威胁描述：当前网页存在恶意脚本代码，您可以清除恶意代码继续浏览，或者选择不看这个网站，我们会自动帮助您搜索同类网站。

挂马网址：http://baidu-jlk6.cn/b197729/new.html

病 毒 名：Exploit.Win32.Shellcode.Suspicious