浏览网页时出现不明加载网马地址

显示全部楼层 · 发表于 2010-9-26 20:13:48

本帖最后由法克于 2010.9.26 20:17 编辑

最近不管访问什么网站都会出现不明网马加载，比如 XXXXX.3322.org 等等这些2级域名，刚开始的时候，我第一个想到的是我访问的网站被挂马了，后来经我验证不是被挂马，而是我浏览的时候突然加载出来的，我可以确认我电脑没有中病毒方面的问题，还要做了些网马病毒加载起来的措施以及一些第三方防网马软件(非网络上那些公开的软件)，这个加载的2级域名前面会经常变换别的，可能是被3322官方封杀了，所以换了其他域名，当然，我发现一个我也会去3322举报，让他们封杀该非法域名。后来我想到可能是黑客利用DNS服务商提供的广告进行挂马操作，于是我按照论坛上的IP策略封杀DNS广告来操作，原本我以为可以了，但刚才又突然出现加载3322的2级域名网马地址。刚才我想起最近好像开始流行的ARP挂马，据说可以进行对外网的传播病毒作用，非仅限于工具运行的服务器内部，而是对外网也开始传播病毒。已经困扰了我一个多月，但这个网马最终没有运行成功，这点我可以确认，这个类似突然加载出网马地址的代码，一个多月来，改了很多加密方式，开始我还能解开，然后上传他的下载者病毒给杀毒商，还变换了几种代码，如单独针对360的网马代码，还有微软的一些利用代码，最后变换了加密方式我就解不开了，刚才又出现了简单的加密方式，嘿嘿，上传杀毒商先。。。现在我只能被动的防御，就是利用hosts屏蔽该域名，之前我在卡饭发帖子问有没有可以屏蔽2级域名的方法就是这个原因，本来我以为hosts可以这样写*.3322.org就可以屏蔽掉该3322域名所有2级域名，可是后来发现不能这样写，唉。。
现在我提出来主要是想问问大家有没有类似的情况？或是有解决方法？特别声明一点就是我非常确认没有运行成功网马及电脑确实没有中病毒类似情况之类的。。

这种情况不是经常出现，所以我才怀疑是黑客利用DNS服务商传播病毒。
附上刚才出现的网马地址： hxxp://9ikd.3322.org:91/q4/index.html?

显示全部楼层 · 发表于 2010-9-26 20:20:22

本帖最后由想和你去吹吹风于 2010.9.26 20:21 编辑

回复 1楼法克的帖子

hXXp://150atm.3322.org:91/q4/ppk.exe
确实是挂了。
但一会儿又没了。

显示全部楼层 · 发表于 2010-9-26 20:25:01

本帖最后由法克于 2010.9.26 20:28 编辑

呵呵，是挂了，这个加密方式比较简单，是最近又突然出现的，一个月来有几次出现的加密方式我解不开的。

我发这个帖子的原因是想大家讨论有没有遇到类似情况或者解决办法，附上网马地址也是让大家看看有类似的情况没有。是让大家一起讨论的，不是给大家解密的。

没想到被版主从病毒救援区移动到这边来了，唉，看来没人讨论了。。

显示全部楼层 · 发表于 2010-9-26 20:29:40

打开浏览器情况下扫描SRENG日志看看吧。毕竟我们不了解实际情况。
如你确定是DNS问题。可以用代-理看下问题是否依旧。

显示全部楼层 · 发表于 2010-9-26 20:30:36

这里是毒网区啊？我以为是救援区。

显示全部楼层 · 发表于 2010-9-26 20:31:39

本帖最后由想和你去吹吹风于 2010.9.26 20:33 编辑

回复 3楼法克的帖子

没关系的，我就是救援区的，跟着进来了/

传个SRENG日志看看吧，记得打开你所用的浏览器，虽然你觉得没问题，但讨论的话我们还是要了解基本情况。

显示全部楼层 · 发表于 2010-9-26 20:45:46

本帖最后由法克于 2010.9.26 20:56 编辑

跟病毒救援区版主商量结果让我重新发一个帖子，这帖子留在这边让别人分析，日志已经扫描出来，我在审核看看有没有泄漏隐私方面的问题然后就用**代替，已经一些不明的地方，我会标明清楚。

病毒救援区新帖子http://bbs.kafan.cn/thread-800673-1-1.html

显示全部楼层 · 发表于 2010-9-26 23:02:16

http://bbs.kafan.cn/thread-800709-1-1.html

和我遇到的情况类似！