中国红十字基金会css目录下的网页木马...[挂马][已检测 by 是昔流芳]

显示全部楼层 · 发表于 2010-7-13 16:07:59

本帖最后由是昔流芳于 2010.7.13 16:15 编辑

hxxp://www.crcf.org.cn/css/ad.gif
gif伪装，其实内容是iframe框架链接到挂马地址，最近ucweb论坛挂马的地址也是这个，上网搜了一下，9966.org:6677这个地址可谓臭名昭著啊，貌似微软的很多缓冲区溢出漏洞都有相应木马。

作者并没有在漏洞网站直接挂上挂马地址，而是从中国红十字基金会网站的一个文件中跳转，体现了其良苦用心啊

贴个中关村的外链干什么

——是昔流芳

显示全部楼层 · 发表于 2010-7-13 16:13:50

关于:hxxp://www.crcf.org.cn/css/ad.gif解密的日志(全体输出 -  5):

Level  0>http://www.crcf.org.cn/css/ad.gif
Level  1>http://microsoft71.9966.org:6677/a/ads.html
Level  2>http://232akanzyfgatfkuy.3322.org:6677/a/mtv.mdb  ●
Level  2>http://microsoft71.9966.org:6677/a/pps.js
Level  2>http://js.tongji.linezing.com/1676183/tongji.js

analyzed by 是昔流芳

显示全部楼层 · 发表于 2010-7-13 17:15:23

http://www.crcf.org.cn/css/ad.gif
-->http://microsoft71.9966.org:6677/a/ads.html
---->http://232akanzyfgatfkuy.3322.org:6677/a/mtv.mdb

[其它] 中国红十字基金会css目录下的网页木马...[挂马][已检测 by 是昔流芳]