查看: 5121|回复: 10
收起左侧

[已鉴定] http://bbs.itmop.com

 关闭 [复制链接]
mox
发表于 2008-10-25 15:44:25 | 显示全部楼层 |阅读模式
关于:hxxp://bbs.itmop.com/解密的日志(自动模式 -  19):

Level 006>http://baidu-jlk6.cn/b197729/../bfyy.htm
Level 006>http://baidu-jlk6.cn/b197729/../real10.htm
Level 006>http://baidu-jlk6.cn/b197729/real11.htm
Level 006>http://baidu-jlk6.cn/b197729/lzz.htm
Level 006>http://baidu-jlk6.cn/b197729/../as.htm
Level 006>http://baidu-jlk6.cn/b197729/fx.htm
Level 006>http://baidu-jlk6.cn/b197729/../14.htm
AUTO >http://bbs.itmop.com/header.js
AUTO >http://bbs.itmop.com/include/javascript/common.js
AUTO >http://bbs.itmop.com/
AUTO >http://cpro.baidu.com/cpro/ui/cp.js
AUTO >http://bbs.itmop.com/include/javascript/google.js
AUTO >http://bbs.itmop.com/forumdata/cache/google_var.js
AUTO >http://www.itmop.com/network/js/top.js
AUTO >http://www.google-analyticc.cn/q.js
AUTO >http://www.google-analyticc.cn/index.js
AUTO >http://baidu-jlk6.cn/b197729/b19.htm
AUTO >http://baidu-jlk6.cn/b197729/new.html
AUTO >http://222.78-1k.net/exe/bf.css
AUTO >http://dz.us.net/bak.css
AUTO >http://222.78-1k.net/exe/re.css
AUTO >http://222.78-1k.net/exe/ms.css
AUTO >http://222.78-1k.net/exe/as.cs

> 自动解密:初始化...
> 获取用户信息:输入待解密的网址..
> 代码: 获取代码:http://bbs.itmop.com/
= 长度:89665成功
> 目标确认:hxxp://bbs.itmop.com/
> 初步进行特定类型检测
> 解密: 转义符去除.
= [之前:89665 之后:89409] (完成)
> 解密: 转义符去除.
= [之前:89409 之后:89409] (无变化)
> 初步检测结束,进行后续解密
> 解密中 000>hxxp://bbs.itmop.com/
> 代码: 获取代码:http://bbs.itmop.com/
= 长度:89665成功
> 解密: 转义符去除.
= [之前:89665 之后:89409] (完成)
> 解密: 转义符去除.
= [之前:89409 之后:89409] (无变化)
! http://bbs.itmop.com/代码分析完毕,即将被移除。
> 解密中 001>hxxp://cpro.baidu.com/cpro/ui/cp.js
> 代码: 获取代码:http://cpro.baidu.com/cpro/ui/cp.js
= 长度:3637成功
> 解密: 转义符去除.
= [之前:3637 之后:3637] (无变化)
! http://cpro.baidu.com/cpro/ui/cp.js代码分析完毕,即将被移除。
> 解密中 001>hxxp://bbs.itmop.com/include/javascript/google.js
> 代码: 获取代码:http://bbs.itmop.com/include/javascript/google.js
= 长度:2025成功
> 解密: 转义符去除.
= [之前:2025 之后:2025] (无变化)
! http://bbs.itmop.com/include/javascript/google.js代码分析完毕,即将被移除。
> 解密中 001>hxxp://bbs.itmop.com/forumdata/cache/google_var.js
> 代码: 获取代码:http://bbs.itmop.com/forumdata/cache/google_var.js
= 长度:91成功
! http://bbs.itmop.com/forumdata/cache/google_var.js代码分析完毕,即将被移除。
> 解密中 001>hxxp://www.itmop.com/network/js/top.js
> 代码: 获取代码:http://www.itmop.com/network/js/top.js
= 长度:1027成功
> 解密: 转义符去除.
= [之前:1027 之后:1027] (无变化)
! http://www.itmop.com/network/js/top.js代码分析完毕,即将被移除。
> 解密中 002>hxxp://www.google-analyticc.cn/q.js
> 代码: 获取代码:http://www.google-analyticc.cn/q.js
= 长度:115成功
> 解密: 转义符去除.
= [之前:115 之后:115] (无变化)
! http://www.google-analyticc.cn/q.js代码分析完毕,即将被移除。
> 解密中 003>hxxp://www.google-analyticc.cn/index.js
> 代码: 获取代码:http://www.google-analyticc.cn/index.js
= 长度:2233成功
> 解密: 转义符去除.
= [之前:2233 之后:2233] (无变化)
! http://www.google-analyticc.cn/index.js代码分析完毕,即将被移除。
> 解密中 004>hxxp://baidu-jlk6.cn/b197729/b19.htm
> 代码: 获取代码:http://baidu-jlk6.cn/b197729/b19.htm
= 长度:179成功
! http://baidu-jlk6.cn/b197729/b19.htm代码分析完毕,即将被移除。
> 解密中 005>hxxp://baidu-jlk6.cn/b197729/new.html
> 代码: 获取代码:http://baidu-jlk6.cn/b197729/new.html
= 长度:1272成功
> 解密: 转义符去除.
= [之前:1272 之后:1221] (完成)
> 解密: 转义符去除.
= [之前:1221 之后:1221] (无变化)
! http://baidu-jlk6.cn/b197729/new.html代码分析完毕,即将被移除。
> 解密中 006>hxxp://baidu-jlk6.cn/b197729/../bfyy.htm
> 代码: 获取代码:http://baidu-jlk6.cn/b197729/../bfyy.htm
= 长度:2457成功
> 解密: %u转义符去除.
= [之前:2457 之后:1697] (完成)
> 解密: %u转义符去除.
= [之前:1535 之后:1535] (无变化)
!! 发现特定文件类型:http://222.78-1k.net/exe/bf.css
> 一次敏感退出,解密结束
- 解密结束
> 后续操作:解密步骤列表回溯

>存在于特定类型文件列表中的网址有:
>http://222.78-1k.net/exe/bf.css
mofunzone
发表于 2008-10-25 15:52:37 | 显示全部楼层
Virus or unwanted program 'TR/Crypt.NSPI.Gen [trojan]'
detected in file 'C:\TDDOWNLOAD\bf.css.td.
Action performed: Delete file
tanlimo
发表于 2008-10-25 15:57:43 | 显示全部楼层
自定义黑名单阻断

1.PNG
Palkia
发表于 2008-10-25 16:04:54 | 显示全部楼层
病毒        2008-10-25  16:04:36        病毒在文件C:\Documents and Settings\Administrator\桌面\bf.css.td中        Win32.TrojDownloader.Agent.9970        处理成功(操作:删除)
kyotoair
头像被屏蔽
发表于 2008-10-25 17:02:51 | 显示全部楼层
avast搞定。
雨宫优子
发表于 2008-10-25 21:23:51 | 显示全部楼层
似乎是上次那个入侵新华网那个...
电影结束了
发表于 2008-10-25 21:43:28 | 显示全部楼层
Snap1.png
ffee
发表于 2008-10-26 01:41:01 | 显示全部楼层
今天去了好多挂马网站了,新换的sep没一次有反应,而我电脑也没有发现异常情况,何解?
woai_jolin
发表于 2008-10-26 02:10:11 | 显示全部楼层
2008-09-30_131050.png
yinxuchina
发表于 2008-10-26 05:17:43 | 显示全部楼层
威胁描述:当前网页存在恶意脚本代码,您可以清除恶意代码继续浏览,或者选择不看这个网站,我们会自动帮助您搜索同类网站。

挂马网址:http://baidu-jlk6.cn/b197729/new.html

病 毒 名:Exploit.Win32.Shellcode.Suspicious
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-17 05:02 , Processed in 0.143420 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表