我真的发火了，那么多挂马...

显示全部楼层 · 发表于 2008-12-4 20:27:11

三天两头碰见挂马...无语完了...

这个是我去找Office 2007 Professional Plus下载，碰到的...
FreShow检测：
Log is generated by FreShow.
[wide]http://www.hbbhmm.cn/bt/read.asp?id=48559
[script]http://js.users.51.la/579340.js
[frame]http://www.zghncsp.cn/one/a23.htm
      [frame]http://sllwrnm2.cn/a1/fxx.htm
Redoce解密：
关于:hxxp://sllwrnm2.cn/a1/fxx.htm解密的日志(全体输出-  19):
Level 0>http://sllwrnm2.cn/a1/fxx.htm
Level 1>http://sllwbd6.cn/sina.htm（死链）
Level 1>http://sllwbd6.cn/uu.htm
Level 2>http://www.uusee.com/mini3/uusee_client_update/remark.php（死链，即使活了也没用）
Level 2>http://www.oiuytre.net/down/uu.ini（死链）
Level 1>http://sllwrnm2.cn/a1/fx.htm（FLASH不解）
Level 1>http://sllwrnm2.cn/a1/ss.html
Level 2>http://www.baikec.cn/new/a1.css  ●
Level 1>http://sllwrnm2.cn/a1/ms06014.htm
Level 2>http://www.baikec.cn/new/a1.css  ●
Level 1>http://sllwrnm2.cn/a1/thunder.html
Level 2>http://www.oiuytr.net/new/a1.css  ●
Level 2>http://down.hs7yue.cn/down/ko.css  ●
Level 1>http://sllwrnm2.cn/a1/glworld.html
Level 2>http://www.baikec.cn/new/a1.css  ●
Level 1>http://sllwrnm2.cn/a1/real.htm
Level 2>http://www.oiuytr.net/new/a1.css  ●
Level 1>http://sllwrnm2.cn/a1/real.html
Level 2>http://www.oiuytr.net/new/a1.css  ●
提示一下样本区新手（老手忽略）：打点的是病毒，真实后缀名是EXE

显示全部楼层 · 发表于 2008-12-4 20:33:50

http://sllwrnm2.cn/a1/thunder.html

话说这个网页过了小红伞，谁把这个网页下载并上报小红伞？

下载下来的东西没过小红伞

显示全部楼层 · 发表于 2008-12-4 20:36:38

解得手软～～

显示全部楼层 · 发表于 2008-12-4 20:38:18

2008-12-04 20:34:57 http://www.baikec.cn/new/a1.css TouchNet Browser 已被拒绝: baikec.cn/* 数据库

baikec.cn 已被卡巴列入恶意站点数据库了，看来确实够毒~

显示全部楼层 · 发表于 2008-12-4 20:44:00

唯一不受经济危机影响的产业。。。

显示全部楼层 · 发表于 2008-12-4 20:45:47

look

显示全部楼层 · 发表于 2008-12-4 20:46:02

Checking: http://www.oiuytr.net/new/a1.css
Engine version: 4.44.0.9170
File size: 36.00 KB

http://www.oiuytr.net/new/a1.css infected with Trojan.NtRootKit.1868

显示全部楼层 · 发表于 2008-12-4 20:47:15

这个应该是团伙作案了...

一个人不可能挂那么多个网站

基本上10个挂马的网站里有8个是挂它的...

显示全部楼层 · 发表于 2008-12-4 20:49:45

原帖由 granthill 于 2008-12-4 20:45 发表
look

额....

在我这里这家伙成功下载下来了

CPU100%彪...

我再看看

显示全部楼层 · 发表于 2008-12-4 22:06:45

直接给block掉。其它的报gen一样。

Access to the data has been denied!
Warning: A virus or unwanted program has been found in the HTTP Data.

Requested URL: http://sllwrnm2.cn/a1/thunder.html
Information: Contains recognition pattern of the HTML/Shellcode.Gen HTML script virus

--------------------------------------------------------------------------------
Generated by AntiVir WebGuard 8.0.15.0, AVE 8.2.0.36, VDF 7.1.0.186

[ 本帖最后由曲中求于 2008-12-4 22:09 编辑 ]

[已鉴定] 我真的发火了，那么多挂马...

回复 2楼 aarwwefdds 的帖子

回复 2楼 aarwwefdds 的帖子