瑞星卡卡安全论坛

关于:hxxp://www.showfans.cn/解密的日志(全体输出 -  32):

Level  0>http://www.showfans.cn/
Level  1>http://%77%77%77%2e%34%33%32%33%32%2e%63%6e/js2/t.js?z12
Level  2>http://wqerwtret.3322.org/kuaile/4.htm
Level  3>http://js.tongji.linezing.com/1240689/tongji.js
Level  3>http://bb6oo.cn/x9/xx.html
Level  4>http://bb6oo.cn/x9/yut.htm
Level  5>http://bb6oo.cn/x9/of.htm
Level  6>http://bb6oo.cn/x9/of1.css 
Level  6>http://bb6oo.cn/x9/of.js
Level  7>http://d.ksxwa.com/xx/x9.css  ●
Level  5>http://bb6oo.cn/x9/ytfl.htm
Level  6>http://bb6oo.cn/x9/y1.htm
Level  7>http://bb6oo.cn/x9/x1.swf 
Level  8>http://d.ksxwa.com/xx/x9.css  ●
Level  6>http://bb6oo.cn/x9/t2.htm
Level  4>http://bb6oo.cn/x9/dxxz.htm
Level  5>http://bb6oo.cn/x9/092.js
Level  5>http://bb6oo.cn/x9/091.js
Level  6>http://d.ksxwa.com/xx/x9.css  ●
Level  4>http://bb6oo.cn/x9/yt.htm
Level  5>http://bb6oo.cn/x9/go3.jpg
Level  5>http://bb6oo.cn/x9/go4.jpg
Level  5>http://bb6oo.cn/x9/go2.jpg
Level  5>http://bb6oo.cn/x9/go.jpg
Level  5>http://bb6oo.cn/x9/go1.jpg
Level  6>http://d.ksxwa.com/xx/x9.css  ●
Level  4>http://bb6oo.cn/x9/td14.htm
Level  5>http://bb6oo.cn/x9/16.js
Level  5>http://bb6oo.cn/x9/15.js
Level  5>http://bb6oo.cn/x9/14.js
Level  6>http://d.ksxwa.com/xx/x9.css  ●


用户系统信息：Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.1.2) Gecko/20090729 Firefox/3.5.2

:default13: 师父，师父

这应该是利用MPEG-2视频漏洞进行挂马的

简单跟踪下，会有



之后 IE调用wscript.exe执行t[1].js，事件记录：





只要在软件限制策略里限制 *.js 不允许运行即可，或限制%userprofile%\Local Settings\Temporary Internet Files 不允许运行就可以在一定程度上防范诸如此类的网马了。。



设置了上面的，接下来会报错：



网马活动终止。。。

.。。。。
LS的太雷人:kaka6:

一直挂着，也没处理掉。

现在人吃饱了没事干就搞恶意网了





















www.fsrlw.cn

无聊的人。。。弄这个有什么用啊。。？

当然有利益可以赚。:kaka6:

无聊的人。。。弄这个有什么用啊。。？