小红伞报hxxp://cn.daxia123.cn/cn.js挂马[已确认 shmily512099]

显示全部楼层 · 发表于 2008-12-26 10:35:51

小红伞报hxxp://cn.daxia123.cn/cn.js挂马

已帮助修改！

by shmily512099

[ 本帖最后由 shmily512099 于 2008-12-26 11:22 编辑 ]

显示全部楼层 · 发表于 2008-12-26 10:46:57

http://165.246.44.228/aspnet_client/system_web/down.exe

显示全部楼层 · 发表于 2008-12-26 10:54:04

http://165.246.44.228/aspnet_client/system_web/down.exe packed by UPX
>http://165.246.44.228/aspnet_client/system_web/down.exe infected with Trojan.PWS.LDPinch.origin
>http://165.246.44.228/aspnet_client/system_web/down.exe packed by BINARYRES
>>http://165.246.44.228/aspnet_client/system_web/down.exe infected with Trojan.DownLoad.26367

显示全部楼层 · 发表于 2008-12-26 11:02:10

网页分析结果如下(250662772).
[wide]http://cn.daxia123.cn/cn.js
[frame]http://cn.daxia123.cn/cn.htm
      [script]http://s39.cnzz.com/stat.php?id=1184740&web_id=1184740
[frame]http://cn.daxia123.cn/s.htm
      [frame]http://cn.daxia123.cn/flash.htm
      [frame]http://cn.daxia123.cn/ie7.htm
         [object]http://165.246.44.228/aspnet_client/system_web/down.exe
      [frame]http://cn.daxia123.cn/Ms06014.htm
         [object]http://165.246.44.228/aspnet_client/system_web/down.exe
      [frame]http://cn.daxia123.cn/office.htm
         [object]http://165.246.44.228/aspnet_client/system_web/down.exe
      [frame]http://cn.daxia123.cn/real10.htm
      [frame]http://cn.daxia123.cn/Real11.htm

显示全部楼层 · 发表于 2008-12-26 11:03:13

和我昨天分析的这个一样http://bbs.kafan.cn/viewthread.php?tid=393917&page=1#pid5904319

显示全部楼层 · 发表于 2008-12-26 11:05:35

微点拦截

显示全部楼层 · 发表于 2008-12-26 11:09:01

應該是利用ie漏洞

显示全部楼层 · 发表于 2008-12-26 11:31:24

Log is generated by FreShow.
[wide]http://cn.daxia123.cn/cn.js
[frame]http://cn.daxia123.cn/cn.htm
      [script]http://s39.cnzz.com/stat.php?id=1184740&web_id=1184740
[frame]http://cn.daxia123.cn/s.htm
      [frame]http://cn.daxia123.cn/flash.htm
      [frame]http://cn.daxia123.cn/ie7.htm
         [object]http://165.246.44.228/aspnet_client/system_web/down.exe
      [frame]http://cn.daxia123.cn/Ms06014.htm
         [object]http://165.246.44.228/aspnet_client/system_web/down.exe
      [frame]http://cn.daxia123.cn/office.htm
         [object]http://165.246.44.228/aspnet_client/system_web/down.exe
      [frame]http://cn.daxia123.cn/real10.htm
      [frame]http://cn.daxia123.cn/Real11.htm
解密的时候出现看不懂的文字，先使用US-ASCII，解码，然后把里面的那些数字，用10进制解密！

显示全部楼层 · 发表于 2008-12-26 11:31:34

谢谢shmily512099！第一次上报可疑网站，不知道要修改http为hxxp，不好意思

显示全部楼层 · 发表于 2008-12-26 11:35:36

原帖由 红豆生南国 于 2008-12-26 11:31 发表
谢谢shmily512099！第一次上报可疑网站，不知道要修改http为hxxp，不好意思

没事，知道了就行~

[已鉴定] 小红伞报hxxp://cn.daxia123.cn/cn.js挂马[已确认 shmily512099]

回复 2楼金字招牌的帖子

[已鉴定] 小红伞报hxxp://cn.daxia123.cn/cn.js挂马[已确认 shmily512099]

回复 2楼 金字招牌 的帖子

回复 2楼金字招牌的帖子