hxxp://218.58.65.23青岛交警支队(挂马)

显示全部楼层 · 发表于 2009-5-15 20:21:43

关于:hxxp://218.58.65.23/解密的日志(全体输出 -  32):
Level  0>http://218.58.65.23/
Level  1>http://3b3.org/c.js
Level  2>http://4t6nhh.6600.org/a/a100.htm
Level  3>http://4t6nhh.6600.org/a/163.htm
Level  4>http://4t6nhh.6600.org/a/js.js
Level  5>http://4t6nhh.6600.org/a/ggr.htm
Level  6>http://4t6nhh.6600.org/a/real1.js
Level  6>http://4t6nhh.6600.org/a/real.js
Level  6>http://4t6nhh.6600.org/a/turl.js
Level  7>http://yy12s.com/love/xp.css  ●
Level  5>http://4t6nhh.6600.org/a/ggbb.htm
Level  6>http://4t6nhh.6600.org/a/ggff.js
Level  6>http://4t6nhh.6600.org/a/ggff1.js
Level  7>http://yy12s.com/love/xp.css  ●
Level  5>http://4t6nhh.6600.org/a/ytxxz.htm
Level  5>http://4t6nhh.6600.org/a/ggvod.htm
Level  6>http://4t6nhh.6600.org/a/ggvod.js
Level  7>http://yy12s.com/love/xp.css  ●
Level  5>http://4t6nhh.6600.org/a/ggff.htm
Level  6>http://4t6nhh.6600.org/a/ff.js
Level  7>http://yy12s.com/love/xp.css  ●
Level  5>http://4t6nhh.6600.org/a/ggfl.htm
Level  6>http://4t6nhh.6600.org/a/2222222222.swf
Level  6>http://4t6nhh.6600.org/a/1111111111.swf
Level  5>http://4t6nhh.6600.org/a/gg14.htm
Level  6>http://4t6nhh.6600.org/a/16.js
Level  6>http://4t6nhh.6600.org/a/15.js
Level  6>http://4t6nhh.6600.org/a/14.js
Level  7>http://yy12s.com/love/xp.css  ●
Level  4>http://4t6nhh.6600.org/a/mm.htm
Level  5>http://yy12s.com/love/activex.exe  ●
网页分析：250662772

显示全部楼层 · 发表于 2009-5-15 20:35:49

打包到样本区网络安全区打包贴
http://bbs.kafan.cn/thread-480883-1-1.html

显示全部楼层 · 发表于 2009-5-15 22:13:21

威胁报告

已发现威胁总数: 20

Small-whitebg-red 偷渡式下载 (这是什么?)

已发现威胁: 20
这是示例:
威胁名称: Infostealer.Gampass
文件名: C:\WINDOWS\system32\kT2NuqZeGma.dll
签名 (MD5): 975497e2c7a43befcd8cdf9f0af26d94
位置: http://218.58.65.23/morepage/showpage.asp?id=668

威胁名称: Infostealer.Gampass
文件名: C:\WINDOWS\system32\kT2NuqZeGma.dll
签名 (MD5): 975497e2c7a43befcd8cdf9f0af26d94
位置: http://218.58.65.23/morepage/showpage.asp?id=1113

威胁名称: Infostealer.Gampass
文件名: C:\WINDOWS\system32\kT2NuqZeGma.dll
签名 (MD5): 975497e2c7a43befcd8cdf9f0af26d94
位置: http://218.58.65.23/morepage/showpage.asp?id=403

威胁名称: Infostealer.Gampass
文件名: C:\WINDOWS\system32\kT2NuqZeGma.dll
签名 (MD5): 975497e2c7a43befcd8cdf9f0af26d94
位置: http://218.58.65.23/morepage/showpage.asp?id=1156

威胁名称: Infostealer.Gampass
文件名: C:\WINDOWS\system32\kT2NuqZeGma.dll
签名 (MD5): 975497e2c7a43befcd8cdf9f0af26d94
位置: http://218.58.65.23/morepage/showpage.asp?id=1010

威胁名称: Infostealer.Gampass
文件名: C:\WINDOWS\system32\kT2NuqZeGma.dll
签名 (MD5): 975497e2c7a43befcd8cdf9f0af26d94
位置: http://218.58.65.23/morepage/mor ... 0%C2%B8%C3%80%C3%BD

威胁名称: Infostealer.Gampass
文件名: C:\WINDOWS\system32\kT2NuqZeGma.dll
签名 (MD5): 975497e2c7a43befcd8cdf9f0af26d94
位置: http://218.58.65.23/morepage/showpage.asp?id=1097

威胁名称: 进程已启动
进程名称: C:\WINDOWS\system32\cmd.exe
位置: http://218.58.65.23/morepage/showpage.asp?id=750

威胁名称: 进程已启动
进程名称: C:\WINDOWS\system32\cacls.exe
位置: http://218.58.65.23/morepage/showpage.asp?id=1107

威胁名称: 进程已启动
进程名称: C:\WINDOWS\system32\rundll32.exe
位置: http://218.58.65.23/morepage/showpage.asp?id=386

挂的真多

显示全部楼层 · 发表于 2009-5-15 22:15:33

解了一部分

Log is generated by FreShow.
[wide]http://218.58.65.23
[script]http://3b3.org/c.js
      [frame]http://4t6nhh.6600.org/a/a100.htm
         [frame]http://4t6nhh.6600.org/a/163.htm
            [frame]http://4t6nhh.6600.org/a/mm.htm
                  [object]http://yy12s.com/love/activex.exe
                     [script]http://4t6nhh.6600.org/a/ggff1.js
                     [script]http://4t6nhh.6600.org/a/ggff.js
                  [frame]http://4t6nhh.6600.org/a/gg14.htm
                     [script]http://4t6nhh.6600.org/a/14.js
                        [object]http://yy12s.com/love/xp.css
                     [script]http://4t6nhh.6600.org/a/15.js
                     [script]http://4t6nhh.6600.org/a/16.js
                  [frame]http://4t6nhh.6600.org/a/ggfl.htm
                  [frame]http://4t6nhh.6600.org/a/ggff.htm
                     [script]http://4t6nhh.6600.org/a/ff.js
                        [object]http://yy12s.com/love/xp.css
                  [frame]http://4t6nhh.6600.org/a/ggvod.htm
                     [script]http://4t6nhh.6600.org/a/ggvod.js
                        [object]http://yy12s.com/love/xp.css
                  [frame]http://4t6nhh.6600.org/a/ytxxz.htm
                  [frame]http://4t6nhh.6600.org/a/ggbb.htm
                     [script]http://4t6nhh.6600.org/a/ggff1.js
                     [script]http://4t6nhh.6600.org/a/ggff.js
                        [object]http://yy12s.com/love/xp.css
                  [frame]http://4t6nhh.6600.org/a/ggr.htm
                     [script]http://4t6nhh.6600.org/a/Turl.js
                     [script]http://4t6nhh.6600.org/a/real.js
                     [script]http://4t6nhh.6600.org/a/real1.js
            [script]http://4t6nhh.6600.org/a/js.js
                  [frame]http://4t6nhh.6600.org/a/gg14.htm
                  [frame]http://4t6nhh.6600.org/a/ggfl.htm
                  [frame]http://4t6nhh.6600.org/a/ggff.htm
                  [frame]http://4t6nhh.6600.org/a/ggvod.htm
                  [frame]http://4t6nhh.6600.org/a/ytxxz.htm
                  [frame]http://4t6nhh.6600.org/a/ggbb.htm
                  [frame]http://4t6nhh.6600.org/a/ggr.htm
         [script]http://4t6nhh.6600.org/a/\"http:\/\/js.tongji.cn.yahoo.com\/1083501\/ystat.js\"
         [script]http://s31.cnzz.com/stat.php?id=1408284&web_id=1408284
      [frame]http://4t6nhh.6600.org/a/a100.htm
      [script]http://3b3.org/\"http:\/\/js.tongji.cn.yahoo.com\/908507\/ystat.js\"

[其它] hxxp://218.58.65.23青岛交警支队(挂马)