陌生QQ乱发的可疑网址

sweetsea

www.mm-home.cn

雨宫优子

挂的不只一个..
Log is generated by FreShow.
[wide]http://www.mm-home.cn
    [script]http://www.mm-home.cn/javascripts/prototype.js
    [script]http://www.mm-home.cn/javascripts/effects.js
    [script]http://www.mm-home.cn/javascripts/glider.js
    [script]http://mm-home.cn/ks_inc/loadflash.js
    [script]http://www.mm-home.cn/Html/JS/main.js
    [script]http://pagead2.googlesyndication.com/pagead/show_ads.js
    [script]http://nrb163.cn/goods_script.php?need_image=true&goods_num=3&arrange=v&charset=UTF8&sitename=
    [frame]http://a.alimama.cn/cpscode.php?t=1110&pid=mm_11542142_0_0&w=192&h=847&rn=4&cn=1&ky=&uid=187098&m=31&bgc=FFFFFF&pic=8ABA28&bdc=E6E6E6&tc=1EABDD&df=1309535,485717,122573,415226,490890,361806,555242,1670420,578673,1436330,1354090,309993&str=1218508439
    [script]http://s86.cnzz.com/stat.php?id=465700&web_id=465700&show=pic
    [script]http://mm-home.cn/KS_Inc/online.asp?Referer=
    [script]http://%75%69%6E%35%2E%63%6E
    [script]http://%75%69%6E%35%2E%63%6E
    [script]http://%63%63%68%31%2E%63%6E
    [frame]http://www.zgynkmk.cn/b3.htm
    [frame]http://www.rxgsslla.cn/b3.htm
    [frame]http://www.rxgsslla.cn/b3.htm
    [frame]http://www.rxgsslla.cn/b3.htm
    [frame]http://www.rxgsslla.cn/b3.htm
    [frame]http://www.rxgsslla.cn/b3.htm
待会慢慢解密
最好带几个IE7 0D

雨宫优子

实际上也没那么多，
关于:hxxp://www.mm-home.cn/解密的日志(全体输出-  28):
Level 0>http://www.mm-home.cn/
Level 1>http://www.mm-home.cn/javascripts/prototype.js
Level 1>http://www.mm-home.cn/javascripts/effects.js
Level 1>http://www.mm-home.cn/javascripts/glider.js
Level 1>http://mm-home.cn/ks_inc/loadflash.js
Level 1>http://www.mm-home.cn/html/js/main.js
Level 1>http://pagead2.googlesyndication.com/pagead/show_ads.js
Level 1>http://nrb163.cn/goods_script.php?need_image=true&;goods_num=3&arrange=v&charset=utf8&sitename=
Level 1>http://s86.cnzz.com/stat.php?id=465700&;web_id=465700&show=pic
Level 1>http://mm-home.cn/ks_inc/online.asp?referer=+escape
Level 1>http://www.zgynkmk.cn/b3.htm
Level 2>http://wm.sllwrnm8.cn/a1/fxx.htm
Level 3>http://wm.sllwrnm8.cn/a1/../a1/real.html
Level 4>http://down.erhaha2.cn/new/a1.css  ●
Level 3>http://wm.sllwrnm8.cn/a1/../a1/real.htm
Level 4>http://down.erhaha2.cn/new/a1.css  ●
Level 3>http://wm.sllwrnm8.cn/a1/../a1/glworld.html
Level 4>http://down.erhaha2.cn/new/a1.css  ●
Level 3>http://wm.sllwrnm8.cn/a1/../a1/thunder.html
Level 4>http://www.oiuytr.net/new/a1.css  ●
Level 3>http://wm.sllwrnm8.cn/a1/../a1/uu.htm（死）
Level 3>http://wm.sllwrnm8.cn/a1/../a1/sina.htm（死）
Level 3>http://wm.sllwrnm8.cn/a1/../a1/ms06014.htm
Level 4>http://down.erhaha2.cn/new/a1.css  ●
Level 3>http://wm.sllwrnm8.cn/a1/../a1/ss.htm（见最下面）
Level 3>http://wm.sllwrnm8.cn/a1/fx.htm
Level 1>http://www.rxgsslla.cn/b3.htm
Level 2>http://wm.sllwrnm8.cn/a1/fxx.htm（重复）
IE7 0D等会慢慢调试
等会...居然还有 这里真的是不可理喻了...
IE70D
堆栈 [0012FFBC]=00143E83 (00143E83), ASCII "http://down.erhaha2.cn/down/ko.exe"
ebx=0012FFB8


[ 本帖最后由 aarwwefdds 于 2008-12-13 18:56 编辑 ]

雨宫优子

关于:hxxp://www.mm-home.cn/解密的日志(部分输出-  18):

Level 0>http://www.mm-home.cn/
Level 1>http://www.mm-home.cn/javascripts/glider.js
Level 2>http://5lla.cn/tj.js
Level 3>http://abcrot.cn/03/index.htm
Level 4>http://abcrot.cn/03/real11.htm
Level 5>http://www-onlinedown.com/03/dumete.exe  ●
Level 4>http://abcrot.cn/03/real10.htm
Level 4>http://abcrot.cn/03/xl.htm
Level 5>http://www-onlinedown.com/03/dumete.exe  ●
Level 4>http://abcrot.cn/03/ff.htm
Level 5>http://www-onlinedown.com/03/dumete.exe  ●
Level 4>http://abcrot.cn/03/i7.htm
Level 5>http://abcrot.cn/03/ix7.htm（又是IE7 0D ）
Level 6>http://www-onlinedown.com/ie7/DUMete.exe（话说这个没有XOR的，居然没发现，不过继续调试）
Level 4>http://abcrot.cn/03/06014.htm
Level 5>http://www-onlinedown.com/03/dumete.exe  ●
Level 4>http://abcrot.cn/03/cx.htm
Level 5>http://www-onlinedown.com/03/dumete.exe  ●
Level 4>http://abcrot.cn/03/fl.htm（FLASH不解）
IE7 0D，这个简单多了...
堆栈 [0012FDA0]=7FFDEA54 (7FFDEA54), ASCII "http://www-onlinedown.com/ie7/DUMete.exe"
ebx=00020FE8


[ 本帖最后由 aarwwefdds 于 2008-12-13 19:09 编辑 ]

woai_jolin

Threat details:

   Web page:
   http://down.erhaha2.cn/down/ko.exe

   Threat:
   probably a variant of Win32/TrojanDownloader.Agent.ONB trojan

   Comment:
   Access to the web page was blocked by ESET Smart Security.

Redevil

dumete.exe
名字是新的

hj5abc

Archive.zip (55.99 KB, 下载次数: 17)

2008-12-13 19:31 上传

点击文件名下载附件

Begin scan in 'G:\Archive.zip'
G:\Archive.zip
    [0] Archive type: ZIP
    --> DUMete.exe
      [DETECTION] Is the TR/Dropper.Gen Trojan
    --> ko.exe
      [DETECTION] Is the TR/Crypt.XDR.Gen Trojan
    [WARNING]   The file was ignored!

附上表一张 ko.exe

[file]       
open=y
url1=http://111.gxfcd.cn/new/new1.exe
url2=http://111.gxfcd.cn/new/new2.exe
url3=http://111.gxfcd.cn/new/new3.exe
url4=http://111.gxfcd.cn/new/new4.exe
url5=http://111.gxfcd.cn/new/new5.exe
url6=http://111.gxfcd.cn/new/new6.exe
url7=http://111.gxfcd.cn/new/new7.exe
url8=http://111.gxfcd.cn/new/new8.exe
url9=http://111.gxfcd.cn/new/new9.exe
url10=http://111.gxfcd.cn/new/new10.exe
url11=http://222.gxfcd.cn/new/new11.exe
url12=
url13=http://222.gxfcd.cn/new/new13.exe
url14=http://222.gxfcd.cn/new/new14.exe
url15=http://222.gxfcd.cn/new/new15.exe
url16=http://222.gxfcd.cn/new/new16.exe
url17=http://222.gxfcd.cn/new/new17.exe
url18=http://222.gxfcd.cn/new/new18.exe
url19=http://222.gxfcd.cn/new/new19.exe
url20=http://222.gxfcd.cn/new/new20.exe
url21=http://333.gxfcd.cn/new/new21.exe
url22=http://333.gxfcd.cn/new/new22.exe
url23=http://333.gxfcd.cn/new/new23.exe
url24=http://333.gxfcd.cn/new/new24.exe
url25=http://333.gxfcd.cn/new/new25.exe
url26=http://333.gxfcd.cn/new/new26.exe
url27=http://333.gxfcd.cn/new/new27.exe
url28=http://333.gxfcd.cn/new/new28.exe
url29=http://333.gxfcd.cn/new/new29.exe
url30=http://333.gxfcd.cn/new/new30.exe
url31=http://444.gxfcd.cn/new/new31.exe
url32=http://444.gxfcd.cn/new/new32.exe
url33=http://444.gxfcd.cn/new/new33.exe
url34=http://444.gxfcd.cn/new/new34.exe
url35=http://444.gxfcd.cn/new/new35.exe
count=35

[ 本帖最后由 hj5abc 于 2008-12-13 19:41 编辑 ]

qigang

这列表非常熟悉。