http://51xcn.bee.pl（挂马，检测250662772）

honker

2009/12/12 3:06:25 感染的 木马程序 Trojan.JS.Iframe.ez http://51xcn.bee.pl/[2]

是昔流芳

关于:hxxp://51xcn.bee.pl/解密的日志(全体输出 -  24):

Level  0>http://51xcn.bee.pl/
Level  1>http://kan08.9966.org/htmlasp/imgasp/asp.html?r
Level  1>http://51xcn.bee.pl/js/dt.js
Level  1>http://51xcn.bee.pl/js/piao.js
Level  1>http://51xcn.bee.pl/js/left.js
Level  2>http://51xcn.bee.pl/js/out.html
Level  3>http://sexdu.now.im/liu.html
Level  4>http://www.trafficholder.com/in/in.php?2586
Level  5>http://s31.cnzz.com/stat.php?id=1224975&web_id=1224975
Level  5>http://www.trafficholder.com/in/js/om.js
Level  5>http://www.trafficholder.com/in/js/yz.js
Level  5>http://www.trafficholder.com/in/js/top.js
Level  5>http://www.trafficholder.com/in/js/left.js
Level  5>http://www.trafficholder.com/in/js/link.js
Level  5>http://www.trafficholder.com/in/js/tui.js
Level  5>http://www.trafficholder.com/in/js/piao.js
Level  5>http://www.trafficholder.com/in/js/dt.js
Level  5>http://97sw.cz.cc/js/wm8.js
Level  6>http://kan07.9966.org/htmlasp/imgasp/asp.html?r
Level  7>http://kan07.9966.org/htmlasp/imgasp/counter/counter.jsp?pc=50268&dn=kan07.9966.org&ip=218.59.64.149
Level  7>http://kan07.9966.org/htmlasp/imgasp/issueunziped/baidusd091210v1/index.jsp?sf=&UserUrl=kan07.9966.org
Level  4>http://www.w3c.org/TR/1999/REC-html401-19991224/loose.dtd
Level  3>http://www.w3c.org/TR/1999/REC-html401-19991224/loose.dtd
Level  1>http://s96.cnzz.com/stat.php?id=1025271&web_id=1025271

analyzed by 是昔流芳

应该没问题

250662772

关于:hxxp://51xcn.bee.pl/解密的日志(全体输出 -  24):

Level  0>http://51xcn.bee.pl/
Level  1>http ...
是昔流芳 发表于 2009-12-12 06:42

挂的有马http://kan08.9966.org/htmlasp/imgasp/asp.html?r



网页分析:250662772    分析工具:mdecoder 0.32
[root]http://51xcn.bee.pl/
    [iframe]http://kan08.9966.org/htmlasp/imgasp/asp.html?r
        [iframe]http://kan08.9966.org/htmlasp/imgasp/share.html
            [iframe]http://kan08.9966.org/htmlasp/imgasp/a4.htm
                [script]http://kan08.9966.org/htmlasp/imgasp/14.js
                    [exe]http://temp.ismydns.com.cn/playcom/img2.css
                [script]http://kan08.9966.org/htmlasp/imgasp/15.js
                [script]http://kan08.9966.org/htmlasp/imgasp/17.js
                [script]http://kan08.9966.org/htmlasp/imgasp/16.js
                [script]http://kan08.9966.org/htmlasp/imgasp/18.js
                [script]http://kan08.9966.org/htmlasp/imgasp/19.js
            [iframe]http://kan08.9966.org/htmlasp/imgasp/ubb.htm
                [script]http://kan08.9966.org/htmlasp/imgasp/ll.jpg
                [script]http://kan08.9966.org/htmlasp/imgasp/ll1.jpg
                [script]http://kan08.9966.org/htmlasp/imgasp/upp.jpg
                    [exe]http://temp.ismydns.com.cn/playcom/img2.css
                [script]http://kan08.9966.org/htmlasp/imgasp/llll1.jpg
                [script]http://kan08.9966.org/htmlasp/imgasp/llll.jpg
                [script]http://kan08.9966.org/htmlasp/imgasp/lllll.jpg
            [iframe]http://kan08.9966.org/htmlasp/imgasp/a90.htm
                [script]http://kan08.9966.org/htmlasp/imgasp/uuub.jpg
                    [exe]http://temp.ismydns.com.cn/playcom/img2.css
                [script]http://kan08.9966.org/htmlasp/imgasp/91.js
                [script]http://kan08.9966.org/htmlasp/imgasp/90.js
            [iframe]http://kan08.9966.org/htmlasp/imgasp/ring.htm
                [iframe]http://kan08.9966.org/htmlasp/imgasp/uuf.htm
                    [iframe]http://kan08.9966.org/htmlasp/imgasp/i1.htm
                        [script]http://kan08.9966.org/htmlasp/imgasp/swfobject.js
                        [flash]http://kan08.9966.org/htmlasp/imgasp/i115.swf
                            [exe]http://temp.ismydns.com.cn/playcom/img2.css
                        [flash]http://kan08.9966.org/htmlasp/imgasp/i47.swf
                            [exe]http://temp.ismydns.com.cn/playcom/img2.css
                        [flash]http://kan08.9966.org/htmlasp/imgasp/i45.swf
                            [exe]http://temp.ismydns.com.cn/playcom/img2.css
                        [flash]http://kan08.9966.org/htmlasp/imgasp/i64.swf
                            [exe]http://temp.ismydns.com.cn/playcom/img2.css
                    [iframe]http://kan08.9966.org/htmlasp/imgasp/f2.htm
                        [script]http://kan08.9966.org/htmlasp/imgasp/swfobject.js
                        [flash]http://kan08.9966.org/htmlasp/imgasp/f115.swf
                            [exe]http://temp.ismydns.com.cn/playcom/img2.css
                        [flash]http://kan08.9966.org/htmlasp/imgasp/f47.swf
                            [exe]http://temp.ismydns.com.cn/playcom/img2.css
                        [flash]http://kan08.9966.org/htmlasp/imgasp/f45.swf
                            [exe]http://temp.ismydns.com.cn/playcom/img2.css
                        [flash]http://kan08.9966.org/htmlasp/imgasp/f64.swf
                            [exe]http://temp.ismydns.com.cn/playcom/img2.css
                    [iframe]http://kan08.9966.org/htmlasp/imgasp/i1.htm
                [iframe]http://kan08.9966.org/htmlasp/imgasp/ukf.htm
                    [script]http://kan08.9966.org/htmlasp/imgasp/oopk.jpg
                        [exe]http://temp.ismydns.com.cn/playcom/img2.css
                    [script]http://kan08.9966.org/htmlasp/imgasp/ahg.jpg
                    [script]http://kan08.9966.org/htmlasp/imgasp/ahm.jpg
            [iframe]http://kan08.9966.org/htmlasp/imgasp/rings.htm
                [iframe]http://kan08.9966.org/htmlasp/imgasp/a10.htm
    [script]http://51xcn.bee.pl/js/dt.js
    [script]http://51xcn.bee.pl/js/piao.js
    [script]http://51xcn.bee.pl/js/left.js

大漠胡杨

360浏览器拦截

zhilu

流氓电信都报了

尤金卡巴斯基

To KL

尤金卡巴斯基

img2.css - Trojan.Win32.Buzus.ctiw

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

小桥流水1

厉害

wsc47621

ESET沒有發現

winxp0286

C:\Documents and Settings\Administrator\桌面\img2.rar > RAR > img2.css - Win32/AutoRun.Delf.EP 蠕虫 的变种 - 是已删除对象的一部分