http://www.ynlsw.cn/（挂马）

显示全部楼层 · 发表于 2009-7-5 19:31:57

又一个 0day  --------
DirectShow-－－－－－MPEG2视频组件－－－－－－－msvidctl.dll模块
CLSID：0955AC62-BF2E-4CBA-A2B9-A63F772D46CF
关于:hxxp://www.ynlsw.cn/解密的日志(全体输出 -  71):

Level  0>http://www.ynlsw.cn/
Level  1>http://www8.itsun.com/count.php?uuid=1717777&style=icon
Level  1>http://www.ynlsw.cn/images/net.gif
Level  1>http://www.ynlsw.cn/images/hd315.gif
Level  1>http://www.ynlsw.cn/xin/05_online.gif
Level  1>http://www.ynlsw.cn/logo/nologo.jpg
Level  1>http://www.86km.com/uploadfile/logo/logo_mini.gif
Level  1>http://www.kmjia.com/images/logo.gif
Level  1>http://www.ynzp.cn/guanggao/xylm/img/luckyou.jpg
Level  1>http://www.ynlsw.cn/lsw_qy/dxfdc/images/dxlogo125?á50.jpg
Level  1>http://www.0591house.com/gif/0591house.gif
Level  1>http://www.xd55.net/images/aseanb2b_logo_88-31.gif
Level  1>http://www.itsun.com/templates/images/logo.gif
Level  1>http://www.mmbuluo.cn/logo.gifwidth=88
Level  1>http://www.fcch.com.cn/logo/logo.gif
Level  1>http://www.ynlsw.cn/logo/kmhouselogo.jpg
Level  1>http://www.bona.net.cn/image/xlog.jpg
Level  1>http://www.ynlsw.cn/images/nmore.gif
Level  1>http://www.ynlsw.cn/bbs/top.asp?action=topic&boardid=0&num=15&len=30&face=0&tg=1&h=10
Level  1>http://www.ynlsw.cn/bbs/viewfile.asp?filename=20076110525733.jpg
Level  1>http://news.xinhuanet.com/house/2007-04/06/xinsrc_55204040609596563098221.jpg
Level  1>http://www.e-jjj.com/ynlsw/ejjjinynlsw.asp
Level  1>http://www.ynlsw.cn/xin/jjcn_logo.jpg
Level  1>http://www.ynlsw.cn/xin/gdton160x70.swf
Level  1>http://www.ynlsw.cn/flash/kmlsw_ggfb.swf
Level  1>http://3b3.org/c.js
Level  2>http://js.tongji.linezing.com/1136402/tongji.js
Level  2>http://vip762.3322.org/aa/a100.htm
Level  3>http://s31.cnzz.com/stat.php?id=1408284&web_id=1408284
Level  3>http://vip762.3322.org/aa/index.htm
Level  4>http://vip762.3322.org/aa/go.jpg
Level  5>http://xin765.com/wm/svchost.exe  ●
Level  1>http://www.ynlsw.cn/lskd_e_book/uploadfile/img_296.jpg
Level  1>http://www.ynlsw.cn/lskd_e_book/uploadfile/img_29.jpg
Level  1>http://www.ynlsw.cn/xin/lskd.gif
Level  1>http://www.ynlsw.cn/loupan/shuhe.jpg
Level  1>http://www.ynlsw.cn/loupan/w.jpg
Level  1>http://www.ynlsw.cn/loupan/0.jpg
Level  1>http://www.ynlsw.cn/loupan/bieyang.jpg
Level  1>http://www.ynlsw.cn/loupan/xuanch.jpg
Level  1>http://www.ynlsw.cn/loupan/4.jpg
Level  1>http://www.ynlsw.cn/images/num1_15.gif
Level  1>http://www.ynlsw.cn/images/num1_14.gif
Level  1>http://www.ynlsw.cn/images/num1_13.gif
Level  1>http://www.ynlsw.cn/images/num1_12.gif
Level  1>http://www.ynlsw.cn/images/num1_11.gif
Level  1>http://www.ynlsw.cn/images/num1_10.gif
Level  1>http://www.ynlsw.cn/images/num1_9.gif
Level  1>http://www.ynlsw.cn/images/num1_8.gif
Level  1>http://www.ynlsw.cn/images/num1_7.gif
Level  1>http://www.ynlsw.cn/images/num1_6.gif
Level  1>http://www.ynlsw.cn/images/num1_5.gif
Level  1>http://www.ynlsw.cn/images/num1_4.gif
Level  1>http://www.ynlsw.cn/images/num1_3.gif
Level  1>http://www.ynlsw.cn/images/num1_2.gif
Level  1>http://www.ynlsw.cn/images/num1_1.gif
Level  1>http://www.ynlsw.cn/ad_xunhuan_win.asp
Level  1>http://www.ynlsw.cn/job/images/logo.gif
Level  1>http://www.ynlsw.cn/ad/lskd_zx/jzhd.swf
Level  1>http://www.ynlsw.cn/xin/jw125?á50.jpg
Level  1>http://www.ynlsw.cn/images/optima.jpg
Level  1>http://www.ynlsw.cn/jpj/img/logo-125.gif
Level  1>http://www.ynlsw.cn/xin/fwyn.swf
Level  1>http://www.ynlsw.cn/images/logo2.gif
Level  1>http://www.ynlsw.cn/ad/5-1.jpg
Level  1>http://www.ynlsw.cn/ad/pic_duilian.js
Level  1>http://www.ynlsw.cn/scripts/ac_runactivecontent.js
Level  1>http://www.ynlsw.cn/a
Level  1>http://www.ynlsw.cn/x.src
Level  1>http://www.ynlsw.cn/x.osrc
Level  1>http://www.ynlsw.cn/default3_1.asp

日志由 Redoce1.9第68次修正版于 2009-7-5 19:29:17 生成。

显示全部楼层 · 发表于 2009-7-5 19:49:30

我靠，我点了二次，被网盾拦截了83项，我日啊……汗死

瑞星防火墙一点反映都没有，汗

显示全部楼层 · 发表于 2009-7-5 20:53:57

Hello,

svchost.exe - Trojan-Dropper.Win32.Killav.gg

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Please quote all when answering.
The answer is relevant to the latest bases from update sources.

Regards, Ostroverkhov Vladimir
Virus Analyst, Kaspersky Lab.

Ph.: +7(495) 797-8700
E-mail: newvirus@kaspersky.com
http://www.kaspersky.com http://www.viruslist.com
10/1, 1st Volokolamsky Proezd, Moscow, 123060, Russia
Tel./Fax: + 7 (495) 797 8700
http://www.kaspersky.com http://www.viruslist.com

[ 本帖最后由尤金卡巴斯基于 2009-7-5 21:35 编辑 ]

显示全部楼层 · 发表于 2009-7-6 11:13:12

显示全部楼层 · 发表于 2009-7-6 15:25:22

Downloader

显示全部楼层 · 发表于 2009-7-6 17:55:31

McAfee 已自动阻止和删除特洛伊木马程序。
关于此特洛伊木马程序
已检测到: StartPage-HR (特洛伊木马程序), StartPage-HR (特洛伊木马程序)
位置: C:\Documents and Settings\Administrator\桌面\新建文件夹\svchost\svchost.exe

还加北斗壳的~~~

2009-07-06 17:55:16 应用程序保护(运行应用程序)    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\新建文件夹\svchost\svchost.exe
文件路径:C:\WINDOWS\system32\rundll32.exe
命令行:func.dll, droqp
2009-07-06 17:55:15 文件保护(创建文件)    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\新建文件夹\svchost\svchost.exe
文件路径:C:\Sandbox\Administrator\DefaultBox\drive\C\WINDOWS\system32\func.dll
2009-07-06 17:55:10 应用程序保护(运行应用程序)    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\新建文件夹\svchost\svchost.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c taskkill /im ScanFrm.exe /f
2009-07-06 17:55:10 应用程序保护(运行应用程序)    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\新建文件夹\svchost\svchost.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c taskkill /im egui.exe /f
2009-07-06 17:55:10 应用程序保护(运行应用程序)    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\新建文件夹\svchost\svchost.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c taskkill /im ekrn.exe /f
2009-07-06 17:55:10 应用程序保护(运行应用程序)    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\新建文件夹\svchost\svchost.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c sc config ekrn start= disabled
2009-07-06 17:55:10 应用程序保护(运行应用程序)    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\新建文件夹\svchost\svchost.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c cacls "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\" /e /p everyone:f
2009-07-06 17:55:10 应用程序保护(运行应用程序)    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\新建文件夹\svchost\svchost.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c cacls C:\WINDOWS /e /p everyone:f
2009-07-06 17:55:10 应用程序保护(修改其它进程内存)    操作:阻止
进程路径:C:\WINDOWS\explorer.exe
目标进程:C:\Documents and Settings\Administrator\桌面\新建文件夹\svchost\svchost.exe

[已鉴定] http://www.ynlsw.cn/（挂马）