哎..到处都有挂马...

显示全部楼层 · 发表于 2008-11-23 15:33:38

刚才在测试ESS4的自我保护，忘记了IEFO的注册表位置，去百度了一下，结果百度到一个挂马的网站...

地址是：http://www.xue5.com/itedu/200809/225138.html
Log is generated by FreShow.
[wide]http://www.xue5.com/itedu/200809/225138.html
[script]http://www.xue5.com/AD/200504/2.js
[script]http://www.xue5.com/AD/200704/30.js
[script]http://www.xue5.com/itedu/js/DIVit_Nav.js
[script]http://www.xue5.com/AD/200504/1.js
[script]http://www.xue5.com/AD/200504/22.js
[script]http://www.xue5.com/AD/200504/26.js
[script]http://www.xue5.com/AD/200504/11.js
[script]http://www.xue5.com/AD/200505/27.js
[script]http://www.xue5.com/AD/200504/24.js
[frame]http://www.xue5.com/ding.asp?articleid=225138
[script]http://www.xue5.com/AD/200504/16.js
[script]http://www.xue5.com/AD/200504/13.js
[script]http://www.xue5.com/AD/200712/31.js
[script]http://www.xue5.com/AD/200504/12.js
[script]http://www.xue5.com/AD/200504/25.js
[script]http://www.xue5.com/itedu/js/DIVit_QQ.js
[script]http://www.xue5.com/AD/200504/18.js
      [script]http://utk.baidu.com/usv/uc.sv?pe=jbmz6q~p80yFdRasqPQGIQ==&sn=2644&an=88768&rn=452
      [script]http://js.tongji.yahoo.com.cn/0/42/43/ystat.js
      [script]http://alimoma.com/header_bg.gif
         [frame]http://www.hryspao.cn/zzll/1.htm
            [frame]http://59.34.216.139/a154/fxx.htm
继续用HTMLDecoder
关于:解密的日志(全体输出-  17):
Level 1>http://59.34.216.139/a154/fxx.htm
Level 2>http://59.34.216.139/a154/real.html
Level 3>http://www.oiuytr.net/new/a154.css  ●
Level 2>http://59.34.216.139/a154/real.htm
Level 3>http://www.oiuytr.net/new/a154.css  ●
Level 2>http://59.34.216.139/a154/glworld.html
Level 3>http://www.oiuytr.net/new/a154.css  ●
Level 2>http://59.34.216.139/a154/thunder.html
Level 3>http://down.hs7yue.cn/down/ko.css  ●
Level 2>http://59.34.216.139/a154/ms06014.htm
Level 3>http://www.oiuytr.net/new/a154.css  ●
Level 2>http://59.34.216.139/a154/ss.html（死链）
Level 2>http://59.34.216.139/a154/fx.htm（FLASH）
Level 2>http://59.34.216.92/uu.htm
Level 3>http://www.uusee.com/mini3/uusee_client_update/remark.php（死链，即使是活的也没用）
Level 3>http://www.oiuytre.net/down/uu.ini（死链）
Level 2>http://59.34.216.92/sina.htm（继续死掉）

显示全部楼层 · 发表于 2008-11-23 15:36:15

用EQ 很安全

显示全部楼层 · 发表于 2008-11-23 15:38:51

原帖由 aarwwefdds 于 2008-11-23 15:33 发表
刚才在测试ESS4的自我保护，忘记了IEFO的注册表位置，去百度了一下，结果百度到一个挂马的网站...
地址是：http://www.xue5.com/itedu/200809/225138.html
Log is generated by FreShow.
[wide]http://www ...

00012DE8 00412DE8 0 SOFTWARE\360Safe\safemon
00012E0C 00412E0C 0 URLDownloadToFileA
00012E20 00412E20 0 urlmon.dll
00012E2C 00412E2C 0 \drivers\etc\hosts
00012E40 00412E40 0 %s%x.dll
00012E4C 00412E4C 0 SeDebugPrivilege
00012E60 00412E60 0 %s%d_choa.tmp
00012E70 00412E70 0 system32\rundll32.exe
00012E88 00412E88 0 MyEntryPoint
00012E98 00412E98 0 jiocs.dll
00012EA8 00412EA8 0 SYSTEM\CurrentControlSet\Services\Kisstusb
00012ED4 00412ED4 0 Kisstusb
00012EE0 00412EE0 0 \\.\Delkil
00012EEC 00412EEC 0 iiopoip
00012EF4 00412EF4 0 \drivers\syskenuyt.sys

复制代码

这个病毒有list 可惜要先TK also 。。。

显示全部楼层 · 发表于 2008-11-23 15:47:02

http://www.abodahua.cn/ok.txt

显示全部楼层 · 发表于 2008-11-23 16:04:43

原帖由 qianwenxiang 于 2008-11-23 15:47 发表
 http://www.abodahua.cn/ok.txt

又比我快

HOSTS：

127.0.0.1 v.onondown.com.cn
127.0.0.2 ymsdasdw1.cn
127.0.0.3 h96b.info
127.0.0.0 fuck.zttwp.cn
127.0.0.0 www.hackerbf.cn
127.0.0.0 geekbyfeng.cn
127.0.0.0 ppp.etimes888.com
127.0.0.0 www.bypk.com
127.0.0.0 CSC3-2004-crl.verisign.com
127.0.0.1 va9sdhun23.cn
127.0.0.0 udp.hjob123.com
127.0.0.2 bnasnd83nd.cn
127.0.0.0 www.gamehacker.com.cn
127.0.0.0 gamehacker.com.cn
127.0.0.3 adlaji.cn
127.0.0.1 858656.com
127.1.1.1 bnasnd83nd.cn
127.0.0.1 my123.com
127.0.0.0 user1.12-27.net
127.0.0.1 8749.com
127.0.0.0 fengent.cn
127.0.0.1 4199.com
127.0.0.1 user1.16-22.net
127.0.0.1 7379.com
127.0.0.1 2be37c5f.3f6e2cc5f0b.com
127.0.0.1 7255.com
127.0.0.1 user1.23-12.net
127.0.0.1 3448.com
127.0.0.1 www.guccia.net
127.0.0.1 7939.com
127.0.0.1 a.o1o1o1.nEt
127.0.0.1 8009.com
127.0.0.1 user1.12-73.cn
127.0.0.1 piaoxue.com
127.0.0.1 3n8nlasd.cn
127.0.0.1 kzdh.com
127.0.0.0 www.sony888.cn
127.0.0.1 about.blank.la
127.0.0.0 user1.asp-33.cn
127.0.0.1 6781.com
127.0.0.0 www.netkwek.cn
127.0.0.1 7322.com
127.0.0.0 ymsdkad6.cn
127.0.0.1 localhost
127.0.0.0 www.lkwueir.cn
127.0.0.1 06.jacai.com
127.0.1.1 user1.23-17.net
127.0.0.1 1.jopenkk.com
127.0.0.0 upa.luzhiai.net
127.0.0.1 1.jopenqc.com
127.0.0.0 www.guccia.net
127.0.0.1 1.joppnqq.com
127.0.0.0 4m9mnlmi.cn
127.0.0.1 1.xqhgm.com
127.0.0.0 mm119mkssd.cn
127.0.0.1 100.332233.com
127.0.0.0 61.128.171.115:8080
127.0.0.1 121.11.90.79
127.0.0.0 www.1119111.com
127.0.0.1 121565.net
127.0.0.0 win.nihao69.cn
127.0.0.1 125.90.88.38
127.0.0.1 16888.6to23.com
127.0.0.1 2.joppnqq.com
127.0.0.0 puc.lianxiac.net
127.0.0.1 204.177.92.68
127.0.0.0 pud.lianxiac.net
127.0.0.1 210.74.145.236
127.0.0.0 210.76.0.133
127.0.0.1 219.129.239.220
127.0.0.0 61.166.32.2
127.0.0.1 219.153.40.221
127.0.0.0 218.92.186.27
127.0.0.1 219.153.46.27
127.0.0.0 www.fsfsfag.cn
127.0.0.1 219.153.52.123
127.0.0.0 ovo.ovovov.cn
127.0.0.1 221.195.42.71
127.0.0.0 dw.com.com
127.0.0.1 222.73.218.115
127.0.0.1 203.110.168.233:80
127.0.0.1 3.joppnqq.com
127.0.0.1 203.110.168.221:80
127.0.0.1 363xx.com
127.0.0.1 www1.ip10086.com.cm
127.0.0.1 4199.com
127.0.0.1 blog.ip10086.com.cn
127.0.0.1 43242.com
127.0.0.1 www.ccji68.cn
127.0.0.1 5.xqhgm.com
127.0.0.0 t.myblank.cn
127.0.0.1 520.mm5208.com
127.0.0.0 x.myblank.cn
127.0.0.1 59.34.131.54
127.0.0.1 210.51.45.5
127.0.0.1 59.34.198.228
127.0.0.1 www.ew1q.cn
127.0.0.1 59.34.198.88
127.0.0.1 59.34.198.97
127.0.0.1 60.190.114.101
127.0.0.1 60.190.218.34
127.0.0.0 qq-xing.com.cn
127.0.0.1 60.191.124.252
127.0.0.1 61.145.117.212
127.0.0.1 61.157.109.222
127.0.0.1 75.126.3.216
127.0.0.1 75.126.3.217
127.0.0.1 75.126.3.218
127.0.0.0 59.125.231.177:17777
127.0.0.1 75.126.3.220
127.0.0.1 75.126.3.221
127.0.0.1 75.126.3.222
127.0.0.1 772630.com
127.0.0.1 832823.cn
127.0.0.1 8749.com
127.0.0.1 888.jopenqc.com
127.0.0.1 89382.cn
127.0.0.1 8v8.biz
127.0.0.1 97725.com
127.0.0.1 9gg.biz
127.0.0.1 www.9000music.com
127.0.0.1 test.591jx.com
127.0.0.1 a.topxxxx.cn
127.0.0.1 picon.chinaren.com
127.0.0.1 www.5566.net
127.0.0.1 p.qqkx.com
127.0.0.1 news.netandtv.com
127.0.0.1 z.neter888.cn
127.0.0.1 b.myblank.cn
127.0.0.1 wvw.wokutu.com
127.0.0.1 unionch.qyule.com
127.0.0.1 www.qyule.com
127.0.0.1 it.itjc.cn
127.0.0.1 www.linkwww.com
127.0.0.1 vod.kaicn.com
127.0.0.1 www.tx8688.com
127.0.0.1 b.neter888.cn
127.0.0.1 promote.huanqiu.com
127.0.0.1 www.huanqiu.com
127.0.0.1 www.haokanla.com
127.0.0.1 play.unionsky.cn
127.0.0.1 www.52v.com
127.0.0.1 www.gghka.cn
127.0.0.1 icon.ajiang.net
127.0.0.1 new.ete.cn
127.0.0.1 www.stiae.cn
127.0.0.1 o.neter888.cn
127.0.0.1 comm.jinti.com
127.0.0.1 www.google-analytics.com
127.0.0.1 hz.mmstat.com
127.0.0.1 www.game175.cn
127.0.0.1 x.neter888.cn
127.0.0.1 z.neter888.cn
127.0.0.1 p.etimes888.com
127.0.0.1 hx.etimes888.com
127.0.0.1 abc.qqkx.com
127.0.0.1 dm.popdm.cn
127.0.0.1 www.yl9999.com
127.0.0.1 www.dajiadoushe.cn
127.0.0.1 v.onondown.com.cn
127.0.0.1 www.interoo.net
127.0.0.1 bally1.bally-bally.net
127.0.0.1 www.bao5605509.cn
127.0.0.1 www.rty456.cn
127.0.0.1 www.werqwer.cn
127.0.0.1 1.360-1.cn
127.0.0.1 user1.23-16.net
127.0.0.1 www.guccia.net
127.0.0.1 www.interoo.net
127.0.0.1 upa.netsool.net
127.0.0.1 js.users.51.la
127.0.0.1 vip2.51.la
127.0.0.1 web.51.la
127.0.0.1 qq.gong2008.com
127.0.0.1 2008tl.copyip.com
127.0.0.1 tla.laozihuolaile.cn
127.0.0.1 www.tx6868.cn
127.0.0.1 p001.tiloaiai.com
127.0.0.1 s1.tl8tl.com
127.0.0.1 s1.gong2008.com
127.0.0.1 4b3ce56f9g.3f6e2cc5f0b.com
127.0.0.1 2be37c5f.3f6e2cc5f0b.com

复制代码

显示全部楼层 · 发表于 2008-11-23 16:07:46

这马居然搞垄断

显示全部楼层 · 发表于 2008-11-23 16:12:30

这种烦人的东西嗅探得之比较快

显示全部楼层 · 发表于 2008-11-23 16:26:58

是啊嗅探是比较快的

显示全部楼层 · 发表于 2008-11-23 23:05:50

在哪看过一个百度日志
就是这个不过忘了

病毒作者收集辛苦

[已鉴定] 哎..到处都有挂马...

回复 5楼 aarwwefdds 的帖子

回复 3楼 WillBeNextKido 的帖子

回复 7楼 promised 的帖子