百度搜索打开这个网址时，nod32报木马(挂马 by：Sherry.ai）

显示全部楼层 · 发表于 2009-12-25 11:14:20

本帖最后由 Sherry.ai 于 2010-1-3 19:25 编辑

网址：http://cndownz.com/ask/soft/soft4/106481.html

nod32日志：2009-12-25 11:10:31 HTTP 过滤器文件 http://cndownz.com/ask/soft/soft4/106481.html HTML/TrojanDownloader.IFrame 特洛伊木马连接中断 - 已隔离 CHINA\Administrator 通过应用程序访问 web 时检测到威胁: C:\Program Files\Internet Explorer\iexplore.exe.

是不是被挂马了？

显示全部楼层 · 发表于 2009-12-25 11:46:24

显示全部楼层 · 发表于 2009-12-25 12:08:36

Log generated by aASDF use mdecoder 0.32
[root]http://cndownz.com/ask/soft/soft4/106481.html
[script]http://cndownz.com/adfile/top01.js
      [script]http://dzs.china8.com.cn/js/1.js?sd
[script]http://cndownz.com/adfile/top875.js
      [script]http://www.52ylxx.cn/js/3.js?31
[script]http://cndownz.com/adfile/top875_2.js
[script]http://cndownz.com/adfile/weizhiad.js
[script]http://cndownz.com/adfile/art01.js
      [script]http://u.1133.cc/showpage.php?pid=102354&show_t=2
[script]http://cndownz.com/adfile/art02.js
      [script]http://a.alimama.cn/inf.js
         [script]http://js.tongji.cn.yahoo.com/
      [script]http://code.qihoo.com/ad_bcast/html_show.js?a=2169&b=1003&p=2005&nt=&w=468&h=75&m=197066&refid=&css=
[script]http://cndownz.com/ask/hits.asp?articleid=106481
[script]http://cndownz.com/adfile/arthots01.js
[script]http://cndownz.com/adfile/artclass01.js
      [script]http://images.sohu.com/cs/jsfile/js/ct.js
[script]http://cndownz.com/adfile/artclass02.js
      [script]http://a.alimama.cn/inf.js
[script]http://cndownz.com/adfile/hotart.js
[script]http://cndownz.com/adfile/bottom01.js
      [script]http://www.52ylxx.cn/js/3.js?31
         [iframe]http://7qusi.3322.org/web/10/index.html?bb
            [script]http://7qusi.3322.org/web/10/a.jpg
                  [exe]http://viper.8gcc.com/down/my/10.exe
            [script]http://7qusi.3322.org/web/10/c.jpg
            [script]http://7qusi.3322.org/web/10/d.css
            [script]http://7qusi.3322.org/web/10/e.jpg
            [script]http://7qusi.3322.org/web/10/f.css
[script]http://cndownz.com/adfile/bottom.js
      [script]http://v.naqigs.com/position/javas/cpm_2594_77604.js
         [script]http://v.naqigs.com/position/applit/na7popclass.js
      [script]http://u.1133.cc/showpage.php?pid=87840&show_t=2
[iframe]http://127.0.0.1/m.htm

显示全部楼层 · 发表于 2009-12-25 13:28:06

挂马
关于:hxxp://cndownz.com/ask/soft/soft4/106481.html解密的日志(全体输出 -  10):

Level  0>http://cndownz.com/ask/soft/soft4/106481.html
Level  1>http://cndownz.com/adfile/bottom01.js
Level  2>http://www.52ylxx.cn/js/3.js?31
Level  3>http://7qusi.3322.org/web/10/index.html?bb
Level  4>http://7qusi.3322.org/web/10/f.css  ●
Level  4>http://7qusi.3322.org/web/10/e.jpg
Level  4>http://7qusi.3322.org/web/10/d.css  ●
Level  4>http://7qusi.3322.org/web/10/c.jpg
Level  4>http://7qusi.3322.org/web/10/a.jpg
Level  5>http://viper.8gcc.com/Down/my/10.exe  ●

日志由 Redoce2.0第58次修正版于 2009-12-25 13:27:26 生成。

显示全部楼层 · 发表于 2009-12-25 15:35:53

直接被firefox屏蔽！

显示全部楼层 · 发表于 2010-1-2 22:41:05

试图访问的网页：

http://cndownz.com/ask/soft/soft4/106481.
html

发生下列错误：

请求的对象被感染，发现下列病毒 Trojan-Clicker.HTML.IFrame.ann

显示全部楼层 · 发表于 2010-1-3 00:25:36

回复 3# post8

10.rar (4.74 KB, 下载次数: 118)

显示全部楼层 · 发表于 2010-1-3 01:00:52

Log is generated by FreShow.
[wide]http://cndownz.com/ask/soft/soft4/106481.html
      [script]http://www.52ylxx.cn/js/3.js?31
         [frame]http://aa818.7766.org:169/360/3001/index.html
            [script]http://aa818.7766.org:169/360/3001/a.jpg
                  [object]http://cocoexe.8gcc.com/Down/my/3001.exe
            [script]http://aa818.7766.org:169/360/3001/c.jpg
            [script]http://aa818.7766.org:169/360/3001/d.css
            [script]http://aa818.7766.org:169/360/3001/e.jpg
            [script]http://aa818.7766.org:169/360/3001/f.css

显示全部楼层 · 发表于 2010-1-3 10:45:48

回复 7# 328397663

AVIRA HEUR Kill

显示全部楼层 · 发表于 2010-1-3 11:38:35

回复 8# tanlimo

http://cocoexe.8gcc.com/Down/my/3001.exe 无法下载.

[已鉴定] 百度搜索打开这个网址时，nod32报木马(挂马 by：Sherry.ai）