查看: 3432|回复: 10
收起左侧

[其它] [紧急 大旗网被挂马!]http://www.daqi.com/[挂马][已确认by aarwwefdds]

[复制链接]
newcenturysun
发表于 2009-2-15 22:02:57 | 显示全部楼层 |阅读模式
Snap1.jpg 见图

挂马已确认


此帖限时高亮处理


by aarwwefdds


[ 本帖最后由 aarwwefdds 于 2009-2-15 22:16 编辑 ]
雨宫优子
发表于 2009-2-15 22:12:55 | 显示全部楼层
关于:hxxp://www.daqi.com/解密的日志(全体输出-  58):

Level 0>http://www.daqi.com/
Level 1>http://www.daqi.com/img/scripts/prototype.js
Level 1>http://www.daqi.com/img/scripts/focus.js
Level 1>http://www.daqi.com/img/scripts/ac_runactivecontent.js
Level 1>http://www.daqi.com/img/img_0801/daqi_logo.png
Level 1>http://union.daqi.com/digg/win_login.html
Level 2>http://go.chacha03.cn/w50/w50.htm
Level 3>http://go.chacha03.cn/w50/new.html
Level 4>http://go.chacha03.cn/supp.htm
Level 5>http://go.chacha03.cn/cx.js
Level 6>http://wwww.ttfafb.com/wl.css  ●
Level 4>http://go.chacha03.cn/w50/fx.htm
Level 5>http://go.chacha03.cn/w50/xlink.html
Level 6>http://go.chacha03.cn/w50/x16.swf
Level 7>http://wwww.ttfabb.com/w50.css  ●
Level 6>http://go.chacha03.cn/w50/x28.swf
Level 7>http://wwww.ttfabb.com/w50.css  ●
Level 6>http://go.chacha03.cn/w50/x45.swf
Level 7>http://wwww.ttfabb.com/w50.css  ●
Level 6>http://go.chacha03.cn/w50/x47.swf
Level 7>http://wwww.ttfabb.com/w50.css  ●
Level 6>http://go.chacha03.cn/w50/x64.swf
Level 7>http://wwww.ttfabb.com/w50.css  ●
Level 6>http://go.chacha03.cn/w50/x15.swf
Level 7>http://wwww.ttfabb.com/w50.css  ●
Level 5>http://go.chacha03.cn/w50/mlink.html
Level 6>http://go.chacha03.cn/w50/m16.swf
Level 7>http://wwww.ttfabb.com/w50.css  ●
Level 6>http://go.chacha03.cn/w50/m28.swf
Level 7>http://wwww.ttfabb.com/w50.css  ●
Level 6>http://go.chacha03.cn/w50/m45.swf
Level 7>http://wwww.ttfabb.com/w50.css  ●
Level 6>http://go.chacha03.cn/w50/m47.swf
Level 7>http://wwww.ttfabb.com/w50.css  ●
Level 6>http://go.chacha03.cn/w50/m64.swf
Level 7>http://wwww.ttfabb.com/w50.css  ●
Level 6>http://go.chacha03.cn/w50/m15.swf
Level 7>http://wwww.ttfabb.com/w50.css  ●
Level 4>http://go.chacha03.cn/new.js
Level 5>http://go.chacha03.cn/baidu.cab  ●
Level 4>http://go.chacha03.cn/all11.htm
Level 5>http://go.chacha03.cn/realdadong.js
Level 6>http://wwww.ttfafb.com/wl.css  ●
Level 4>http://go.chacha03.cn/all10.htm
Level 5>http://go.chacha03.cn/re.js
Level 6>http://wwww.ttfabb.com/wl.css  ●
Level 4>http://go.chacha03.cn/baozi.htm
Level 5>http://go.chacha03.cn/baozi.js
Level 6>http://wwww.ttfafb.com/wl.css  ●
Level 4>http://go.chacha03.cn/gword.htm
Level 5>http://go.chacha03.cn/glz.js
Level 6>http://wwww.ttfafb.com/wl.css  ●
Level 4>http://go.chacha03.cn/w50/for.htm
Level 5>http://wwww.ttfabb.com/w50.css  ●
Level 4>http://go.chacha03.cn/as.htm
Level 5>http://wwww.ttfabb.com/wl.css  ●
Level 1>http://www.daqi.com/total.js
Level 1>http://www.daqi.com/channel_state.js

Log by aarwwefdds
确认被挂马!
雨宫优子
发表于 2009-2-15 22:18:06 | 显示全部楼层
不过这个挂马八成是间歇性的...


跟那个啥电玩巴士差不多似乎...
小v可
发表于 2009-2-15 22:25:40 | 显示全部楼层
我的畅游和卡巴都没报1
fzz8848
头像被屏蔽
发表于 2009-2-15 22:37:59 | 显示全部楼层
确实是间隙性的,和癫痫差不多
0.JPG
newcenturysun
 楼主| 发表于 2009-2-15 23:23:07 | 显示全部楼层
简单分析:被挂的马就是猫癣下载器之前的一个变种
Temp文件夹下释放一个名为78767551的驱动替换beep.sys 并创建一个名为Kisstusb的服务
创建互斥量aIiopoip  试图结束如下进程
0040BD34  6B 61 76 73 74 61 72 74 2E 65 78 65 00 00 00 00  kavstart.exe....
0040BD44  00 6B 69 73 73 76 63 2E 65 78 65 00 00 00 00 00  .kissvc.exe.....
0040BD54  00 00 6B 6D 61 69 6C 6D 6F 6E 2E 65 78 65 00 00  ..kmailmon.exe..
0040BD64  00 00 00 6B 70 66 77 33 32 2E 65 78 65 00 00 00  ...kpfw32.exe...
0040BD74  00 00 00 00 6B 70 66 77 73 76 63 2E 65 78 65 00  ....kpfwsvc.exe.
0040BD84  00 00 00 00 00 6B 77 61 74 63 68 2E 65 78 65 00  .....kwatch.exe.
0040BD94  00 00 00 00 00 00 63 63 65 6E 74 65 72 2E 65 78  ......ccenter.ex
0040BDA4  65 00 00 00 00 00 00 72 61 73 2E 65 78 65 00 00  e......ras.exe..
0040BDB4  00 00 00 00 00 00 00 00 72 73 74 72 61 79 2E 65  ........rstray.e
0040BDC4  78 65 00 00 00 00 00 00 00 72 73 61 67 65 6E 74  xe.......rsagent
0040BDD4  2E 65 78 65 00 00 00 00 00 00 72 61 76 74 61 73  .exe......ravtas
0040BDE4  6B 2E 65 78 65 00 00 00 00 00 00 72 61 76 73 74  k.exe......ravst
0040BDF4  75 62 2E 65 78 65 00 00 00 00 00 00 72 61 76 6D  ub.exe......ravm
0040BE04  6F 6E 2E 65 78 65 00 00 00 00 00 00 00 72 61 76  on.exe.......rav
0040BE14  6D 6F 6E 64 2E 65 78 65 00 00 00 00 00 00 61 76  mond.exe......av
0040BE24  70 2E 65 78 65 00 00 00 00 00 00 00 00 00 00 33  p.exe..........3
0040BE34  36 30 73 61 66 65 62 6F 78 2E 65 78 65 00 00 00  60safebox.exe...
0040BE44  33 36 30 53 61 66 65 2E 65 78 65 00 00 00 00 00  360Safe.exe.....
0040BE54  00 54 68 75 6E 64 65 72 35 2E 65 78 65 00 00 00  .Thunder5.exe...
0040BE64  00 00 72 66 77 6D 61 69 6E 2E 65 78 65 00 00 00  ..rfwmain.exe...
0040BE74  00 00 00 72 66 77 73 74 75 62 2E 65 78 65 00 00  ...rfwstub.exe..
0040BE84  00 00 00 00 72 66 77 73 72 76 2E 65 78 65 00 00  ....rfwsrv.exe..
并模拟加参数/u 卸载360
对360相关键值进行操作 SOFTWARE\360Safe\safemon下的
UDiskAccess
LeakShowed
IEProtAccess
weeken
ARPAccess
ExecAccess
SiteAccess
MonAccess
使360监控失效

下载其他病毒... 下载地址列表http://pa.tt-09.com.ap.txt

评分

参与人数 1人气 +1 收起 理由
promised + 1 版区有你更精彩: )

查看全部评分

hzqedison
发表于 2009-2-15 23:58:39 | 显示全部楼层
金山网盾也报了

大旗网已经是第三次了
未命名.jpg
武金磊
发表于 2009-2-17 10:20:39 | 显示全部楼层
我的卡巴KIS09和360都没报,,,,
wangshengxiang
发表于 2009-2-17 14:26:14 | 显示全部楼层
诺顿报警
2008gigi
发表于 2009-2-17 14:38:55 | 显示全部楼层
LZ原来是JM的贵宾呀,呵呵~刚在JM也看到你发的警报贴了~
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-17 11:44 , Processed in 0.140711 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表