ZOL疑为被挂马

z069

今天去ZOL中关村在线的时候，发现多个网页金山网盾和诺顿IPS报不安全

http://oa.zol.com.cn/157/1572871.html

这个网页金山报木马


请各位帮忙测试一下

冬天真冷

Log generated by 冬天真冷 use mdecoder 0.30
[root]hxxp://oa.zol.com.cn/157/1572871.html
    [script]hxxp://icon.zol-img.com.cn/js/jquery_1.3.2.js
    [script]hxxp://icon.zol-img.com.cn/js/doc09_adj.js
    [script]hxxp://www.zol.com.cn/js/getcook.js
    [script]hxxp://icon.zol.com.cn/js/define.js
    [script]hxxp://www.zol.com.cn/js/swfobject.js
    [iframe]hxxp://active.zol.com.cn/dell_html/dell_76060.html
    [script]hxxp://oa.zol.com.cn/include/relate_reading.php?document_id=1572871
    [iframe]hxxp://comments.zol.com.cn/iframe_comment_2009.php?kindid=32&articleid=1572871
        [script]hxxp://yui.yahooapis.com/combo?2.6.0/build/yahoo-dom-event/yahoo-dom-event.js&2.6.0/build/connection/connection-min.js
    [flash]hxxp://pic.zol-img.com.cn/200911/sam26682oa300_1125.swf
    [flash]hxxp://pic.zol-img.com.cn/200912/epson27011oa300_1201.swf
    [flash]hxxp://pic.zol-img.com.cn/200912/canon27187oa300f_1201.swf
    [iframe]hxxp://pic.zol-img.com.cn/200906/baidu_0626.html
        [script]hxxp://cpro.baidu.com/cpro/ui/cp.js
    [script]hxxp://search.zol.com.cn/assess/get_hits_new.php?document_id=1572871
    [script]hxxp://stat.zol.com.cn/ol.js
    [script]hxxp://js.zol.com.cn/pv.js
        [script]hxxp://js/p.ht?h=&t=&c=
    [script]hxxp://dw-cn.com.com/js/dw.js
    [script]hxxp://my.zol.com.cn/public_new.php
    [script]hxxp://icon.zol-img.com.cn/js/style_ctl.js
    [script]hxxp://icon.zol-img.com.cn/js/product_right_star.js
    [script]hxxp://icon.zol-img.com.cn/js/product_right_param_new_bd.js
    [script]hxxp://icon.zol-img.com.cn/js/get_group_post.js
    [script]hxxp://oa.zol.com.cn/include/individual.js
    [script]hxxp://icon.zol-img.com.cn/js/public_switch.js
    [script]hxxp://oa.zol.com.cn/157/google-analytics.com/ga.js
    [iframe]hxxp://33vcv.2288.org/vista/360.html?yy
        [iframe]hxxp://33vcv.2288.org/vista/share.html
            [iframe]hxxp://33vcv.2288.org/vista/a4.htm
                [script]hxxp://33vcv.2288.org/vista/14.js
                    [exe]hxxp://down.ddos163.cn/upload/vista.css
                [script]hxxp://33vcv.2288.org/vista/15.js
                [script]hxxp://33vcv.2288.org/vista/17.js
                [script]hxxp://33vcv.2288.org/vista/16.js
                [script]hxxp://33vcv.2288.org/vista/18.js
                [script]hxxp://33vcv.2288.org/vista/19.js
            [iframe]hxxp://33vcv.2288.org/vista/ubb.htm
                [script]hxxp://33vcv.2288.org/vista/ll.jpg
                [script]hxxp://33vcv.2288.org/vista/ll1.jpg
                [script]hxxp://33vcv.2288.org/vista/upp.jpg
                    [exe]hxxp://down.ddos163.cn/upload/vista.css
                [script]hxxp://33vcv.2288.org/vista/llll1.jpg
                [script]hxxp://33vcv.2288.org/vista/llll.jpg
                [script]hxxp://33vcv.2288.org/vista/lllll.jpg
            [iframe]hxxp://33vcv.2288.org/vista/a90.htm
                [script]hxxp://33vcv.2288.org/vista/ukk.jpg
                    [exe]hxxp://down.ddos163.cn/upload/vista.css
                [script]hxxp://33vcv.2288.org/vista/a90.js
            [iframe]hxxp://33vcv.2288.org/vista/ring.htm
                [iframe]hxxp://33vcv.2288.org/vista/uuf.htm
                    [iframe]hxxp://33vcv.2288.org/vista/i1.htm
                        [script]hxxp://33vcv.2288.org/vista/swfobject.js
                        [flash]hxxp://33vcv.2288.org/vista/i115.swf
                            [exe]hxxp://down.ddos163.cn/upload/vista.css
                        [flash]hxxp://33vcv.2288.org/vista/i47.swf
                            [exe]hxxp://down.ddos163.cn/upload/vista.css
                        [flash]hxxp://33vcv.2288.org/vista/i45.swf
                            [exe]hxxp://down.ddos163.cn/upload/vista.css
                        [flash]hxxp://33vcv.2288.org/vista/i64.swf
                            [exe]hxxp://down.ddos163.cn/upload/vista.css
                    [iframe]hxxp://33vcv.2288.org/vista/f2.htm
                        [script]hxxp://33vcv.2288.org/vista/swfobject.js
                        [flash]hxxp://33vcv.2288.org/vista/f115.swf
                            [exe]hxxp://down.ddos163.cn/upload/vista.css
                        [flash]hxxp://33vcv.2288.org/vista/f47.swf
                            [exe]hxxp://down.ddos163.cn/upload/vista.css
                        [flash]hxxp://33vcv.2288.org/vista/f45.swf
                            [exe]hxxp://down.ddos163.cn/upload/vista.css
                        [flash]hxxp://33vcv.2288.org/vista/f64.swf
                            [exe]hxxp://down.ddos163.cn/upload/vista.css
                    [iframe]hxxp://33vcv.2288.org/vista/i1.htm
                [iframe]hxxp://33vcv.2288.org/vista/ukf.htm
                    [script]hxxp://33vcv.2288.org/vista/oopk.jpg
                        [exe]hxxp://down.ddos163.cn/upload/vista.css
                    [script]hxxp://33vcv.2288.org/vista/uug.jpg
            [iframe]hxxp://33vcv.2288.org/vista/rings.htm
                [iframe]hxxp://33vcv.2288.org/vista/a10.htm
    [exe]hxxp://icon.zol-img.com.cn/public/css/article_page09.css


那 vista.css 比较可疑

asinasina

挂啦，就是那个vista.css

lf968

Artemis!ADD48F904D3F

月神杀

ryota

确实是马DELPHI的马

winxp0286

HIPS没反应..NOD不报!!!

fzz8848

Begin scan in 'E:\Downloads\vista.css'
E:\Downloads\vista.css
    [DETECTION] Is the TR/Hijacker.Gen Trojan
    [NOTE]      The file was deleted!

taoqik

FF加小A没反应

naterrykim

comodo单奔，，D+拦截日志未见可疑项

taotaojf

中关村在线前几天的确被挂马了，不过现在应该没问题了