[王朝网络]http://www.wangchao.net.cn/[已清除][by qianwenxiang aarwwefdds qigang]

显示全部楼层 · 发表于 2009-3-8 15:54:46

它弹出个什么联众世界什么的，所以怀疑一下。。。

[ 本帖最后由 aarwwefdds 于 2009-3-14 20:15 编辑 ]

显示全部楼层 · 发表于 2009-3-8 15:55:03

汗，忘了发地址。。。

http://www.wangchao.net.cn/bbsdetail_1732864.html

显示全部楼层 · 发表于 2009-3-8 16:03:41

访问地址：http://qqdnf22.cn/new3/bf.htm
访问网页的进程："C:\Program Files\TheWorld 2.0\TheWorld.exe"
病毒名称：Suspicious.ShellCode.Exploit
病毒来源：http://qqdnf00.cn/kk.css

显示全部楼层 · 发表于 2009-3-8 16:06:14

报了2个~这是第二个

访问地址：http://qqdnf22.cn/new3/tnt.htm
访问网页的进程："D:\Program Files\TheWorld 3\TheWorld.exe"
漏洞对象名：scripting.filesystemobject

显示全部楼层 · 发表于 2009-3-8 16:09:11

已发现威胁: 30
这是示例:

威胁名称:  Downloader
文件名:  C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\MH25YLE5\ss[1].htm
签名 (MD5):  9af4c97ce063e242b19c840bd0847c72
位置:  http://www.wangchao.net.cn/bbsdetail_1920878.html

威胁名称:  Downloader
文件名:  C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\GZKDIZWD\ss[1].htm
签名 (MD5):  9af4c97ce063e242b19c840bd0847c72
位置:  http://www.wangchao.net.cn/bbsdetail_1787272.html

威胁名称:  Downloader
文件名:  C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\W96RIBA9\ss[1].htm
签名 (MD5):  9af4c97ce063e242b19c840bd0847c72
位置:  http://www.wangchao.net.cn/life_101.html

威胁名称:  Downloader
文件名:  C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\GZKDIZWD\ss[1].htm
签名 (MD5):  9af4c97ce063e242b19c840bd0847c72
位置:  http://www.wangchao.net.cn/life_105.html

威胁名称:  Downloader
文件名:  C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\GZKDIZWD\ss[1].htm
签名 (MD5):  9af4c97ce063e242b19c840bd0847c72
位置:  http://www.wangchao.net.cn/bbsdetail_1787284.html

威胁名称:  Downloader
文件名:  C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\GZKDIZWD\ss[1].htm
签名 (MD5):  9af4c97ce063e242b19c840bd0847c72
位置:  http://www.wangchao.net.cn/bbsdetail_1787286.html

威胁名称:  Downloader
文件名:  C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\GZKDIZWD\ss[1].htm
签名 (MD5):  9af4c97ce063e242b19c840bd0847c72
位置:  http://www.wangchao.net.cn/bbsdetail_1920880.html

威胁名称:  Downloader
文件名:  C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\W96RIBA9\ss[1].htm
签名 (MD5):  9af4c97ce063e242b19c840bd0847c72
位置:  http://www.wangchao.net.cn/life_109.html

威胁名称:  Downloader
文件名:  C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\W96RIBA9\real[1].htm
签名 (MD5):  23c91a6bfbbce09a5af9c683ec7e29b6
位置:  http://www.wangchao.net.cn/bbsdetail_1787282.html

威胁名称:  Downloader
文件名:  C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\MH25YLE5\real[1].htm
签名 (MD5):  23c91a6bfbbce09a5af9c683ec7e29b6
位置:  http://www.wangchao.net.cn/bbsdetail_1920885.html

显示全部楼层 · 发表于 2009-3-8 16:12:45

关于:hxxp://www.wangchao.net.cn/bbsdetail_1732864.html解密的日志(全体输出 -  14):

Level  0>http://www.wangchao.net.cn/bbsdetail_1732864.html
Level  1>http://search.wangchao.net.cn/js/ajax.js
Level  2>http://qqdnf22.cn/new3/61.htm
Level  3>http://qqdnf22.cn/new3/au.htm
Level  4>http://qqdnf22.cn/new3/real.html
Level  4>http://qqdnf22.cn/new3/real.htm
Level  4>http://qqdnf22.cn/new3/bf.htm
Level  5>http://qqdnf22.cn/new3/bf.js
Level  6>http://qqdnf00.cn/kk.css  ●
Level  4>http://qqdnf22.cn/new3/office.htm
Level  4>http://qqdnf22.cn/new3/lz.htm
Level  4>http://qqdnf22.cn/new3/02.htm
Level  4>http://qqdnf22.cn/new3/flash.htm
Level  4>http://qqdnf22.cn/new3/tnt.htm

日志由 Redoce1.8第122次修正版于 2009-3-8 16:11:16 生成。

显示全部楼层 · 发表于 2009-3-8 16:17:40

确认挂马
关于:hxxp://www.wangchao.net.cn/bbsdetail_1732864.html解密的日志(全体输出-  46):

Level  0>http://www.wangchao.net.cn/bbsdetail_1732864.html
Level  1>http://www.zoomino.cn/zoomino/resources/entry?activehostid=89&pebar=true&license=activehost&showads=false
Level  1>http://www.wangchao.net.cn/myservlets/createimage?strlen=4&width=48&height=20
Level  1>http://p.alimama.com/code.php?t=2&i=mm_10025082_114273_1750182&w=950&h=90&sz=15&bgc=ffffff&bdc=dddddd&tc=0066cc&lc=008000&dc=000000
Level  1>http://cpro.baidu.com/cpro/ui/cp.js
Level  1>http://cpro.baidu.com/cpro/ui/cp.js
Level  1>http://search.wangchao.net.cn/js/ajax.js
Level  2>http://qqdnf22.cn/new3/61.htm
Level  3>http://qqdnf22.cn/new3/au.htm
Level  4>http://qqdnf22.cn/new3/real.html
Level  5>http://qqdnf00.cn/kk.css  ●
Level  4>http://qqdnf22.cn/new3/real.htm
Level  5>http://qqdnf22.cn/new3/real.js
Level  6>http://qqdnf00.cn/kk.css  ●
Level  4>http://qqdnf22.cn/new3/bf.htm
Level  5>http://qqdnf22.cn/new3/bf.js
Level  6>http://qqdnf00.cn/kk.css  ●
Level  4>http://qqdnf22.cn/new3/office.htm
Level  5>http://qqdnf00.cn/kk.css  ●
Level  4>http://qqdnf22.cn/new3/lz.htm
Level  5>http://qqdnf22.cn/new3/lz.js
Level  6>http://qqdnf00.cn/kk.css  ●
Level  4>http://qqdnf22.cn/new3/02.htm
Level  5>http://qqdnf22.cn/new3/set.js（有XOR）
Level  6>http://qqdnf00.cn/kk.css  ●
Level  4>http://qqdnf22.cn/new3/flash.htm
Level  5>http://qqdnf22.cn/new3/fgg.html
Level  6>http://qqdnf22.cn/new3/f115.swf  ●
Level  6>http://qqdnf22.cn/new3/f64.swf  ●
Level  6>http://qqdnf22.cn/new3/f47.swf  ●
Level  6>http://qqdnf22.cn/new3/f45.swf  ●
Level  6>http://qqdnf22.cn/new3/f28.swf  ●
Level  6>http://qqdnf22.cn/new3/f16.swf  ●
Level  5>http://qqdnf22.cn/new3/igg.html
Level  6>http://qqdnf22.cn/new3/i115.swf  ●
Level  6>http://qqdnf22.cn/new3/i64.swf  ●
Level  6>http://qqdnf22.cn/new3/i47.swf  ●
Level  6>http://qqdnf22.cn/new3/i45.swf  ●
Level  6>http://qqdnf22.cn/new3/i28.swf  ●
Level  6>http://qqdnf22.cn/new3/i16.swf  ●
Level  4>http://qqdnf22.cn/new3/tnt.htm
Level  5>http://qqdnf00.cn/kk.css  ●
Level  1>http://www.wangchao.net.cn/js/changetab.js
Level  1>http://www.wangchao.net.cn/js/date.js
Level  1>http://www.wangchao.net.cn/js/preloadimg.js
Level  1>http://www.wangchao.net.cn/js/bbsdetail.js

Log by aarwwefdds(打点的均为真实木马地址)

显示全部楼层 · 发表于 2009-3-8 20:32:37

if(window.addEventListener){FixPrototypeForGecko();}function FixPrototypeForGecko(){HTMLElement.prototype.__defineGetter__("runtimeStyle",element_prototype_get_runtimeStyle);window.constructor.prototype.__defineGetter__("event",window_prototype_get_event);Event.prototype.__defineGetter__("srcElement",event_prototype_get_srcElement);}function element_prototype_get_runtimeStyle(){return this.style;}function window_prototype_get_event(){return SearchEvent();}function event_prototype_get_srcElement(){return this.target;}function SearchEvent(){if(document.all){return window.event;}func=SearchEvent.caller;while(func!=null) {var arg0=func.arguments[0];if(arg0){return arg0;}func=func.caller;}return null;}var oldpos = 0;var curpos = -1;var suggestnum = 0;var b;function key_down(){evt = SearchEvent();if(document.all){b = evt.keyCode;}else{b = evt.which;}}function key_up(){try{suggestnum = document.getElementById("suggestnum").value;}catch(e){suggestnum = -1;}if(suggestnum>-1){if(b==13){document.getElementById("go").click();}else if(b==27){document.getElementById("suggest").innerHTML="";document.mysearch.searchstr.focus();}else if(b==38){if(curpos<=0){oldpos = 0;curpos = suggestnum;}else{oldpos = curpos;curpos--;}obj = "left" + oldpos;document.getElementById(obj).style.backgroundColor = "";obj = "right" + oldpos;document.getElementById(obj).style.backgroundColor = "";obj = "left" + curpos;document.getElementById(obj).style.backgroundColor = "#EBFFED";obj = "right" + curpos;document.getElementById(obj).style.backgroundColor = "#EBFFED";obj = "valuestr" + curpos;document.getElementById("searchstr").value = document.getElementById(obj).value;}else if(b==40){if(curpos>=suggestnum){oldpos = suggestnum;curpos = 0;}else{if(curpos==-1){oldpos = 0;}else{oldpos = curpos;}curpos++;}obj = "left" + oldpos;document.getElementById(obj).style.backgroundColor = "";obj = "right" + oldpos;document.getElementById(obj).style.backgroundColor = "";obj = "left" + curpos;document.getElementById(obj).style.backgroundColor = "#EBFFED";obj = "right" + curpos;document.getElementById(obj).style.backgroundColor = "#EBFFED";obj = "valuestr" + curpos;document.getElementById("searchstr").value = document.getElementById(obj).value;}}else if(b==13){document.getElementById("go").click();}}var req;var isback = false;function loadTextDoc(url) {if (window.XMLHttpRequest) {req = new XMLHttpRequest();} else if (window.ActiveXObject) {req = new ActiveXObject("Microsoft.XMLHTTP");}req.onreadystatechange = processReqChange;req.open("GET", url, true);req.send(null);}function processReqChange() {if (req.readyState == 4) {if (req.status == 200) {response = req.responseText;ShowMe(response);}}}function ShowMe(response){messageobj = document.getElementById("suggest");messageobj.innerHTML = response;isback = true;}function PreviewMe(q){if(b!=13&&b!=27&&b!=37&&b!=38&&b!=39&&b!=40){curpos = -1;oldpos = 0;suggestnum = 0;isback = false;url = "/suggest.jsp?q=" + encodeURIComponent(q);loadTextDoc(url);}else if(isback){key_up();}else if(b==13){document.getElementById("go").click();}}document.onmouseup = function (){if(canhide){document.getElementById("suggest").innerHTML="";}else{canhide = true;}}

[已鉴定] [王朝网络]http://www.wangchao.net.cn/[已清除][by qianwenxiang aarwwefdds qigang]

回复 3楼江湖的fans 的帖子

http://search.wangchao.net.cn/js/ajax.js

[已鉴定] [王朝网络]http://www.wangchao.net.cn/[已清除][by qianwenxiang aarwwefdds qigang]

回复 3楼 江湖的fans 的帖子

http://search.wangchao.net.cn/js/ajax.js

回复 3楼江湖的fans 的帖子