[紧急大旗网被挂马！]http://www.daqi.com/[挂马][已确认by aarwwefdds]

显示全部楼层 · 发表于 2009-2-15 22:02:57

见图

挂马已确认

此帖限时高亮处理

by aarwwefdds

[ 本帖最后由 aarwwefdds 于 2009-2-15 22:16 编辑 ]

显示全部楼层 · 发表于 2009-2-15 22:12:55

关于:hxxp://www.daqi.com/解密的日志(全体输出-  58):

Level 0>http://www.daqi.com/
Level 1>http://www.daqi.com/img/scripts/prototype.js
Level 1>http://www.daqi.com/img/scripts/focus.js
Level 1>http://www.daqi.com/img/scripts/ac_runactivecontent.js
Level 1>http://www.daqi.com/img/img_0801/daqi_logo.png
Level 1>http://union.daqi.com/digg/win_login.html
Level 2>http://go.chacha03.cn/w50/w50.htm
Level 3>http://go.chacha03.cn/w50/new.html
Level 4>http://go.chacha03.cn/supp.htm
Level 5>http://go.chacha03.cn/cx.js
Level 6>http://wwww.ttfafb.com/wl.css  ●
Level 4>http://go.chacha03.cn/w50/fx.htm
Level 5>http://go.chacha03.cn/w50/xlink.html
Level 6>http://go.chacha03.cn/w50/x16.swf
Level 7>http://wwww.ttfabb.com/w50.css  ●
Level 6>http://go.chacha03.cn/w50/x28.swf
Level 7>http://wwww.ttfabb.com/w50.css  ●
Level 6>http://go.chacha03.cn/w50/x45.swf
Level 7>http://wwww.ttfabb.com/w50.css  ●
Level 6>http://go.chacha03.cn/w50/x47.swf
Level 7>http://wwww.ttfabb.com/w50.css  ●
Level 6>http://go.chacha03.cn/w50/x64.swf
Level 7>http://wwww.ttfabb.com/w50.css  ●
Level 6>http://go.chacha03.cn/w50/x15.swf
Level 7>http://wwww.ttfabb.com/w50.css  ●
Level 5>http://go.chacha03.cn/w50/mlink.html
Level 6>http://go.chacha03.cn/w50/m16.swf
Level 7>http://wwww.ttfabb.com/w50.css  ●
Level 6>http://go.chacha03.cn/w50/m28.swf
Level 7>http://wwww.ttfabb.com/w50.css  ●
Level 6>http://go.chacha03.cn/w50/m45.swf
Level 7>http://wwww.ttfabb.com/w50.css  ●
Level 6>http://go.chacha03.cn/w50/m47.swf
Level 7>http://wwww.ttfabb.com/w50.css  ●
Level 6>http://go.chacha03.cn/w50/m64.swf
Level 7>http://wwww.ttfabb.com/w50.css  ●
Level 6>http://go.chacha03.cn/w50/m15.swf
Level 7>http://wwww.ttfabb.com/w50.css  ●
Level 4>http://go.chacha03.cn/new.js
Level 5>http://go.chacha03.cn/baidu.cab  ●
Level 4>http://go.chacha03.cn/all11.htm
Level 5>http://go.chacha03.cn/realdadong.js
Level 6>http://wwww.ttfafb.com/wl.css  ●
Level 4>http://go.chacha03.cn/all10.htm
Level 5>http://go.chacha03.cn/re.js
Level 6>http://wwww.ttfabb.com/wl.css  ●
Level 4>http://go.chacha03.cn/baozi.htm
Level 5>http://go.chacha03.cn/baozi.js
Level 6>http://wwww.ttfafb.com/wl.css  ●
Level 4>http://go.chacha03.cn/gword.htm
Level 5>http://go.chacha03.cn/glz.js
Level 6>http://wwww.ttfafb.com/wl.css  ●
Level 4>http://go.chacha03.cn/w50/for.htm
Level 5>http://wwww.ttfabb.com/w50.css  ●
Level 4>http://go.chacha03.cn/as.htm
Level 5>http://wwww.ttfabb.com/wl.css  ●
Level 1>http://www.daqi.com/total.js
Level 1>http://www.daqi.com/channel_state.js

Log by aarwwefdds
确认被挂马！

显示全部楼层 · 发表于 2009-2-15 22:18:06

不过这个挂马八成是间歇性的...

跟那个啥电玩巴士差不多似乎...

显示全部楼层 · 发表于 2009-2-15 22:25:40

我的畅游和卡巴都没报1

显示全部楼层 · 发表于 2009-2-15 22:37:59

确实是间隙性的，和癫痫差不多

显示全部楼层 · 发表于 2009-2-15 23:23:07

简单分析：被挂的马就是猫癣下载器之前的一个变种
Temp文件夹下释放一个名为78767551的驱动替换beep.sys 并创建一个名为Kisstusb的服务
创建互斥量aIiopoip  试图结束如下进程
0040BD34  6B 61 76 73 74 61 72 74 2E 65 78 65 00 00 00 00  kavstart.exe....
0040BD44  00 6B 69 73 73 76 63 2E 65 78 65 00 00 00 00 00  .kissvc.exe.....
0040BD54  00 00 6B 6D 61 69 6C 6D 6F 6E 2E 65 78 65 00 00  ..kmailmon.exe..
0040BD64  00 00 00 6B 70 66 77 33 32 2E 65 78 65 00 00 00  ...kpfw32.exe...
0040BD74  00 00 00 00 6B 70 66 77 73 76 63 2E 65 78 65 00  ....kpfwsvc.exe.
0040BD84  00 00 00 00 00 6B 77 61 74 63 68 2E 65 78 65 00  .....kwatch.exe.
0040BD94  00 00 00 00 00 00 63 63 65 6E 74 65 72 2E 65 78  ......ccenter.ex
0040BDA4  65 00 00 00 00 00 00 72 61 73 2E 65 78 65 00 00  e......ras.exe..
0040BDB4  00 00 00 00 00 00 00 00 72 73 74 72 61 79 2E 65  ........rstray.e
0040BDC4  78 65 00 00 00 00 00 00 00 72 73 61 67 65 6E 74  xe.......rsagent
0040BDD4  2E 65 78 65 00 00 00 00 00 00 72 61 76 74 61 73  .exe......ravtas
0040BDE4  6B 2E 65 78 65 00 00 00 00 00 00 72 61 76 73 74  k.exe......ravst
0040BDF4  75 62 2E 65 78 65 00 00 00 00 00 00 72 61 76 6D  ub.exe......ravm
0040BE04  6F 6E 2E 65 78 65 00 00 00 00 00 00 00 72 61 76  on.exe.......rav
0040BE14  6D 6F 6E 64 2E 65 78 65 00 00 00 00 00 00 61 76  mond.exe......av
0040BE24  70 2E 65 78 65 00 00 00 00 00 00 00 00 00 00 33  p.exe..........3
0040BE34  36 30 73 61 66 65 62 6F 78 2E 65 78 65 00 00 00  60safebox.exe...
0040BE44  33 36 30 53 61 66 65 2E 65 78 65 00 00 00 00 00  360Safe.exe.....
0040BE54  00 54 68 75 6E 64 65 72 35 2E 65 78 65 00 00 00  .Thunder5.exe...
0040BE64  00 00 72 66 77 6D 61 69 6E 2E 65 78 65 00 00 00  ..rfwmain.exe...
0040BE74  00 00 00 72 66 77 73 74 75 62 2E 65 78 65 00 00  ...rfwstub.exe..
0040BE84  00 00 00 00 72 66 77 73 72 76 2E 65 78 65 00 00  ....rfwsrv.exe..
并模拟加参数/u 卸载360
对360相关键值进行操作 SOFTWARE\360Safe\safemon下的
UDiskAccess
LeakShowed
IEProtAccess
weeken
ARPAccess
ExecAccess
SiteAccess
MonAccess
使360监控失效

下载其他病毒... 下载地址列表http://pa.tt-09.com.ap.txt

显示全部楼层 · 发表于 2009-2-15 23:58:39

金山网盾也报了

大旗网已经是第三次了

显示全部楼层 · 发表于 2009-2-17 10:20:39

我的卡巴KIS09和360都没报，，，，

显示全部楼层 · 发表于 2009-2-17 14:26:14

诺顿报警

显示全部楼层 · 发表于 2009-2-17 14:38:55

LZ原来是JM的贵宾呀，呵呵~刚在JM也看到你发的警报贴了~

[其它] [紧急大旗网被挂马！]http://www.daqi.com/[挂马][已确认by aarwwefdds]

评分

[其它] [紧急 大旗网被挂马！]http://www.daqi.com/[挂马][已确认by aarwwefdds]

评分

[其它] [紧急大旗网被挂马！]http://www.daqi.com/[挂马][已确认by aarwwefdds]