诺基亚 IT 168挂马 (挂马已被清除 by IllusionWing)

dzghblm

http://nokia.it168. com/

Micropoint

很奇怪

星空下的吻

卡巴+360 miss

nanhezzb

确实挂马了。
关于:hxxp://nokia.it168.com/解密的日志(全体输出 -  34):
Level  0>http://nokia.it168.com/
Level  1>http://www.cfbase.com/cp.js
Level  2>http://polo1.9966.org/it/3.htm?
Level  3>http://polo1.9966.org/it/3333333.html
Level  4>http://polo1.9966.org/it/ylzn.htm
Level  5>http://polo1.9966.org/it/r.html
Level  6>http://polo1.9966.org/it/rl.js
Level  7>http://yanlan66.cn/j/z1.exe  ●
Level  5>http://polo1.9966.org/it/r.htm
Level  6>http://polo1.9966.org/it/r.js
Level  7>http://yanlan66.cn/j/z1.exe  ●
Level  5>http://polo1.9966.org/it/yloff.htm
Level  6>http://polo1.9966.org/it/of1.css
Level  6>http://polo1.9966.org/it/of.js
Level  7>http://yanlan88.cn/j/z3.exe  ●
Level  5>http://polo1.9966.org/it/ylf9.htm
Level  6>http://polo1.9966.org/it/t2.htm
Level  6>http://polo1.9966.org/it/y1.htm
Level  5>http://polo1.9966.org/it/ylf10.htm
Level  6>http://polo1.9966.org/it/ff.html
Level  7>http://polo1.9966.org/it/xp.swf
Level  6>http://polo1.9966.org/it/ie.html
Level  7>http://xiqiji36.cn/i/s3.exe  ●
Level  7>http://polo1.9966.org/it/xp.swf
Level  4>http://polo1.9966.org/it/ylxxz.htm
Level  5>http://polo1.9966.org/it/092.js（下面有几个SWF未列出）
Level  5>http://polo1.9966.org/it/091.js（下面有几个SWF未列出）
Level  6>http://xiqiji36.cn/i/s3.exe  ●
Level  4>http://polo1.9966.org/it/ylmp.htm
Level  5>[img]http://polo1.9966.org/it/go1.jpg
Level  5>[img]http://polo1.9966.org/it/goo.jpg
Level  6>http://yanlan88.cn/j/z3.exe  ●
Level  5>[img]http://polo1.9966.org/it/go.jpg
Level  4>http://polo1.9966.org/it/he.htm 几个挂失败的SWF就不列出了。

[[i] 本帖最后由 nanhezzb 于 2009-8-20 09:54 编辑 [/i]]

always

Log is generated by FreShow.
[wide]http://nokia.it168.com/
    [script]http://nokia.it168.com/include/javascript/common.js
    [script]http://nokia.it168.com/include/javascript/menu.js
    [script]http://nokia.it168.com/include/javascript/ajax.js
    [frame]http://advbbs.it168.com/advheader.php?do=get_adv&from=nokia.it168.com
    [script]http://advbbs.it168.com/advheader.php?do=get_adv&from=nokia.it168.com&type=topbanner&lo=/index.php
    [script]http://advbbs.it168.com/advheader.php?do=get_adv&from=nokia.it168.com&type=headerbanner&lo=/index.php
    [frame]http://168.it168.com/newimage/20090814/nokia.html
        [script]http://adshow.it168.com/files/chkFrom.asp?From=product20070903
        [script]http://168.it168.com/file/js/3gdingxiangtxt.js
    [script]http://stat.it168.com/pv.js
    [script]http://it168.wrating.com/a1.js
    [script]http://www.cfbase.com/cp.js
        [frame]http://polo1.9966.org/it/3.htm?
            [frame]http://polo1.9966.org/it/3333333.html
                [frame]http://polo1.9966.org/it/he.htm
                    [script]http://polo1.9966.org/it/hh.js
                    [script]http://polo1.9966.org/it/hhh.js
                        [object]http://yanlan88.cn/j/z3.exe
                [frame]http://polo1.9966.org/it/ylmp.htm
                    [script]http://polo1.9966.org/it/go.jpg
                    [script]http://polo1.9966.org/it/goo.jpg
                        [object]http://yanlan88.cn/j/z3.exe
                    [script]http://polo1.9966.org/it/go1.jpg
                [frame]http://polo1.9966.org/it/ylxxz.htm
                    [script]http://polo1.9966.org/it/091.js
                        [object]http://yanlan88.cn/j/z3.exe
                    [script]http://polo1.9966.org/it/092.js
                [frame]http://polo1.9966.org/it/ylzn.htm
                    [frame]http://polo1.9966.org/it/ylf10.htm
                        [frame]http://polo1.9966.org/it/ff.html
                            [object]http://yanlan88.cn/j/z3.exe
                    [frame]http://polo1.9966.org/it/ylf9.htm
                        [frame]http://polo1.9966.org/it/y1.htm
                            [object]http://polo1.9966.org/it/x5.swf
                            [object]http://polo1.9966.org/it/x4.swf
                            [object]http://polo1.9966.org/it/x3.swf
                            [object]http://polo1.9966.org/it/x2.swf
                            [object]http://polo1.9966.org/it/x1.swf
                                [object]http://xiqiji36.cn/i/s3.exe
                        [frame]http://polo1.9966.org/it/t2.htm
                    [frame]http://polo1.9966.org/it/yloff.htm
                        [script]http://polo1.9966.org/it/of.js
                            [object]http://xiqiji36.cn/i/s3.exe
                        [script]http://polo1.9966.org/it/of1.css
                    [frame]http://polo1.9966.org/it/r.htm
                        [script]http://polo1.9966.org/it/r.js
                            [object]http://xiqiji36.cn/i/s3.exe
            [script]http://js.users.51.la/3077323.js
    [script]http://adshow.it168.com/files/chkFrom.asp?From=product20070903
    [script]http://168.it168.com/file/js/3gdingxiangtxt.js

幸福的猪猪

hxxp://xiqiji36.cn/i/s3.exe   （下载地址失效）

hxxp://yanlan88.cn/j/z1.exe
。。。
。。。
hxxp://yanlan88.cn/j/z5.exe
样本打包上报。（卡巴斯基不能识别4个，已经上报，给予查杀）


Hello,


2268A641BB2570003FEC799BF3300323 - Trojan-Dropper.Win32.Mudrop.cuu
48A8A1A3B25F8E51791900AAF21E6B41 - Trojan-Dropper.Win32.Mudrop.cuv
5AEB65166FFD4CC0ACF7E44A24F251D7 - Trojan-Dropper.Win32.Mudrop.cut
CA416CE72EC52478FA66DD2279279365 - Trojan-Dropper.Win32.Mudrop.cus

New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.

[ 本帖最后由 幸福的猪猪 于 2009-8-20 10:18 编辑 ]

IllusionWing

已经被清除。
8过还是贴个日志比较好

原始 - http://polo1.9966.org/it/3.htm?
开始自动解析 - http://polo1.9966.org/it/3.htm?
L1 - http://polo1.9966.org/it/3333333.html
L2 - http://polo1.9966.org/it/he.htm
L2 - http://polo1.9966.org/it/ylmp.htm
L2 - http://polo1.9966.org/it/ylxxz.htm
L2 - http://polo1.9966.org/it/ylzn.htm
L3 - http://polo1.9966.org/it/hh.js
L3 - http://polo1.9966.org/it/hhh.js
自动解析 - Auto XOR - http://yanlan88.cn/j/z3.exe


此分析日志由 Illusion Wing 使用 Astox v1 Build 1090 在 2009年8月20日10时29分13秒 生成。

nanhezzb

卡巴斯基的反馈的速度真是高效啊！

dzghblm

 登陆的时候还有马