瑞星卡卡安全论坛

前面吃饱饭没事:kaka6:  在官网首找了个挂马网址点点玩:kaka6:


这个网真是厉害啊 

    木马入侵拦截的窗口不停的跳  窗口还卡了一下呢

我还没见过我的全功能2009 像2008防火墙那样像个小灯再转  原来是受到了什么游戏中心的什么远程攻击


全过程挺刺激的 :kaka6:

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQDownload 570; TheWorld)

请详细描述你的操作步骤和被攻击过程,谢谢.

:kaka12: 很爽，对吧

:kaka12: 网址短信息给我,让我试试

小心中毒啊！！！:kaka3:

1.http://it.rising.com.cn/new2008/Anti_Virus/NewsInfo/2009-08-21/1250844606d54348.shtml

选里面的第2个  就是二十一世纪什么的网址

2.我把它的地址复制下来  打开百度首页粘贴    然后选第一行直接访问


3.结果 先是弹出木马入侵拦截窗口    这时卡了一下下 紧跟着小
 附件: 您所在的用户组无法下载或查看附件 变成小灯 转啊转（还是第一次看见小伞也会转啊  ）

我怕事搞大了  就选择断网了    :kaka12:



 附件: 您所在的用户组无法下载或查看附件



 附件: 您所在的用户组无法下载或查看附件

强啊....呵呵

不过装全功能到现在  小伞还没转过啊 今天终于知道它也会转的

...360浏览器拦截了,后面没戏了

用IE,网盾拦截了,又没戏了:kaka6: 啥时候都不到RFW

等有空用单位电脑体验下:kaka19:

关于:hxxp://baidu8221.8866.org/解密的日志(自动模式 -  38):
AUTO>http://baidu8221.8866.org/1/ec4.js
AUTO>http://baidu8221.8866.org/1/off.css
AUTO>http://baidu8221.8866.org/1/dvd.js
AUTO>http://baidu8221.8866.org/1/cry.css
AUTO>http://baidu8221.8866.org/1/cqq2s.css
AUTO>http://baidu8221.8866.org/1/cqq2.css
AUTO>http://baidu8221.8866.org/1/wing
AUTO>http://baidu8221.8866.org/1/ecbbb.htm
AUTO>http://baidu8221.8866.org/1/rr.js
AUTO>http://baidu8221.8866.org/1/zz.js
AUTO>http://baidu8221.8866.org/1/ecffx.htm
AUTO>http://baidu8221.8866.org/1/sf.pdf
AUTO>http://baidu8221.8866.org
AUTO>http://baidu8221.8866.org/
AUTO>http://baidu8221.8866.org/aa/a3a.htm
AUTO>http://baidu8221.8866.org/aa/index.html
AUTO>http://baidu8221.8866.org/1/google.htm
AUTO>http://baidu8221.8866.org/ta.htm
AUTO>http://baidu8221.8866.org/1/google_ad.js
AUTO>http://baidu8221.8866.org/1/google_ads.js
AUTO>http://baidu8221.8866.org/1/google_adx.js
AUTO>http://baidu8221.8866.org/1/music.js
AUTO>http://s107.cnzz.com/stat.php?id=1583441&web_id=1583441
AUTO>http://baidu8221.8866.org/1/cqqmp.htm
AUTO>http://baidu8221.8866.org/1/ec1.htm
AUTO>http://baidu8221.8866.org/1/fyfl.htm
AUTO>http://baidu8221.8866.org/1/ecof.htm
AUTO>http://baidu8221.8866.org/1/fydvd.htm
AUTO>http://baidu8221.8866.org/1/fycry.htm
AUTO>http://baidu8221.8866.org/1/cqq0.htm
AUTO>http://baidu8221.8866.org/1/ecb.htm
AUTO>http://baidu8221.8866.org/1/fyr.htm
AUTO>http://baidu8221.8866.org/1/ecfox.htm
AUTO>http://baidu8221.8866.org/1/sfpf.htm
AUTO>http://baidu8221.8866.org/1/cqqskin.css
AUTO>http://baidu8221.8866.org/1/sf.pdf
AUTO>http://baidu8221.8866.org/1/ec4.js
AUTO>http://xxx.ss.la/1.exe
日志由 Redoce1.9第36次修正版于 2009-8-22 21:04:41 生成。


> 自动解密:初始化...
> 获取用户信息:输入待解密的网址..
> 代码: 读取代码:hxxp://baidu8221.8866.org
= 长度:408成功
> 目标确认:hxxp://baidu8221.8866.org/
> 初步进行特定类型检测
> 去杂: 连接符消除.
= [之前:408 之后:403] (完成)
> 去杂: 连接符消除.
= [之前:403 之后:403] (无变化)
> 初步检测结束，进行后续解密
> 解密中 001>hxxp://baidu8221.8866.org/aa/a3a.htm
> 代码: 读取代码:hxxp://baidu8221.8866.org/aa/a3a.htm
= 长度:102成功
! hxxp://baidu8221.8866.org/aa/a3a.htm代码分析完毕,即将被移除。
> 解密中 001>hxxp://baidu8221.8866.org/aa/index.html
> 代码: 读取代码:hxxp://baidu8221.8866.org/aa/index.html
= 长度:605成功
> 解密: 转义符去除.
= [之前:605 之后:605] (无变化)
> 去杂: "\"消除.
= [之前:605 之后:602] (完成)
> 去杂: "\"消除.
= [之前:602 之后:602] (无变化)
! hxxp://baidu8221.8866.org/aa/index.html代码分析完毕,即将被移除。
> 解密中 001>hxxp://baidu8221.8866.org/1/google.htm
> 代码: 读取代码:hxxp://baidu8221.8866.org/1/google.htm
= 长度:387成功
> 去杂: 连接符消除.
= [之前:387 之后:387] (无变化)
! hxxp://baidu8221.8866.org/1/google.htm代码分析完毕,即将被移除。
> 解密中 001>hxxp://baidu8221.8866.org/ta.htm
> 代码: 读取代码:hxxp://baidu8221.8866.org/ta.htm
= 长度:2960成功
> 解密: 转义符去除.
= [之前:2960 之后:2952] (完成)
> 解密: 转义符去除.
= [之前:2952 之后:2952] (无变化)
! hxxp://baidu8221.8866.org/ta.htm代码分析完毕,即将被移除。
> 解密中 001>hxxp://baidu8221.8866.org/1/google_ad.js
> 代码: 读取代码:hxxp://baidu8221.8866.org/1/google_ad.js
= 长度:73成功
! hxxp://baidu8221.8866.org/1/google_ad.js代码分析完毕,即将被移除。
> 解密中 001>hxxp://baidu8221.8866.org/1/google_ads.js
> 代码: 读取代码:hxxp://baidu8221.8866.org/1/google_ads.js
= 长度:410成功
! hxxp://baidu8221.8866.org/1/google_ads.js代码分析完毕,即将被移除。
> 解密中 001>hxxp://baidu8221.8866.org/1/google_adx.js
> 代码: 读取代码:hxxp://baidu8221.8866.org/1/google_adx.js
= 长度:340成功
! hxxp://baidu8221.8866.org/1/google_adx.js代码分析完毕,即将被移除。
> 解密中 001>hxxp://baidu8221.8866.org/1/music.js
> 代码: 读取代码:hxxp://baidu8221.8866.org/1/music.js
= 长度:230成功
> 解密: 转义符去除.
= [之前:230 之后:191] (完成)
> 解密: 转义符去除.
= [之前:191 之后:191] (无变化)
> 去杂: "\"消除.
= [之前:191 之后:191] (无变化)
! hxxp://baidu8221.8866.org/1/music.js代码分析完毕,即将被移除。
> 解密中 001>hxxp://s107.cnzz.com/stat.php?id=1583441&web_id=1583441
> 代码: 读取代码:hxxp://s107.cnzz.com/stat.php?id=1583441&web_id=1583441
= 长度:2523成功
> 去杂: 连接符消除.
= [之前:2523 之后:2519] (完成)
> 去杂: 连接符消除.
= [之前:2519 之后:2519] (无变化)
! hxxp://s107.cnzz.com/stat.php?id=1583441&web_id=1583441代码分析完毕,即将被移除。
> 解密中 001>hxxp://baidu8221.8866.org/1/cqqmp.htm
> 代码: 读取代码:hxxp://baidu8221.8866.org/1/cqqmp.htm
= 长度:386成功
> 去杂: 连接符消除.
= [之前:386 之后:378] (完成)
> 去杂: 连接符消除.
= [之前:378 之后:378] (无变化)
! hxxp://baidu8221.8866.org/1/cqqmp.htm代码分析完毕,即将被移除。
> 解密中 001>hxxp://baidu8221.8866.org/1/ec1.htm
> 代码: 读取代码:hxxp://baidu8221.8866.org/1/ec1.htm
= 长度:3690成功
> 去杂: 连接符消除.
= [之前:3690 之后:3690] (无变化)
! hxxp://baidu8221.8866.org/1/ec1.htm代码分析完毕,即将被移除。
> 解密中 001>hxxp://baidu8221.8866.org/1/fyfl.htm
> 代码: 读取代码:hxxp://baidu8221.8866.org/1/fyfl.htm
= 长度:1081成功
> 去杂: 连接符消除.
= [之前:1081 之后:1076] (完成)
> 去杂: 连接符消除.
= [之前:1076 之后:1076] (无变化)
! hxxp://baidu8221.8866.org/1/fyfl.htm代码分析完毕,即将被移除。
> 解密中 001>hxxp://baidu8221.8866.org/1/ecof.htm
> 代码: 读取代码:hxxp://baidu8221.8866.org/1/ecof.htm
= 长度:988成功
> 去杂: 连接符消除.
= [之前:988 之后:945] (完成)
> 去杂: 连接符消除.
= [之前:945 之后:945] (无变化)
! hxxp://baidu8221.8866.org/1/ecof.htm代码分析完毕,即将被移除。
> 解密中 001>hxxp://baidu8221.8866.org/1/fydvd.htm
> 代码: 读取代码:hxxp://baidu8221.8866.org/1/fydvd.htm
= 长度:2675成功
> 解密: Unicode去除.
= [之前:2675 之后:2673] (完成)
> 解密: Unicode去除.
= [之前:2673 之后:2673] (无变化)
> 解密: 转义符去除.
= [之前:2673 之后:1557] (完成)
> 解密: 转义符去除.
= [之前:1557 之后:1557] (无变化)
> 去杂: "\"消除.
= [之前:1557 之后:1557] (无变化)
! hxxp://baidu8221.8866.org/1/fydvd.htm代码分析完毕,即将被移除。
> 解密中 001>hxxp://baidu8221.8866.org/1/fycry.htm
> 代码: 读取代码:hxxp://baidu8221.8866.org/1/fycry.htm
= 长度:1018成功
> 解密: 转义符去除.
= [之前:1018 之后:1018] (无变化)
! hxxp://baidu8221.8866.org/1/fycry.htm代码分析完毕,即将被移除。
> 解密中 001>hxxp://baidu8221.8866.org/1/cqq0.htm
> 代码: 读取代码:hxxp://baidu8221.8866.org/1/cqq0.htm
= 长度:891成功
> 去杂: 连接符消除.
= [之前:891 之后:867] (完成)
> 去杂: 连接符消除.
= [之前:867 之后:867] (无变化)
! hxxp://baidu8221.8866.org/1/cqq0.htm代码分析完毕,即将被移除。
> 解密中 001>hxxp://baidu8221.8866.org/1/ecb.htm
> 代码: 读取代码:hxxp://baidu8221.8866.org/1/ecb.htm
= 长度:385成功
> 去杂: 连接符消除.
= [之前:385 之后:355] (完成)
> 去杂: 连接符消除.
= [之前:355 之后:355] (无变化)
! hxxp://baidu8221.8866.org/1/ecb.htm代码分析完毕,即将被移除。
> 解密中 001>hxxp://baidu8221.8866.org/1/fyr.htm
> 代码: 读取代码:hxxp://baidu8221.8866.org/1/fyr.htm
= 长度:77成功
! hxxp://baidu8221.8866.org/1/fyr.htm代码分析完毕,即将被移除。
> 解密中 001>hxxp://baidu8221.8866.org/1/ecfox.htm
> 代码: 读取代码:hxxp://baidu8221.8866.org/1/ecfox.htm
= 长度:220成功
> 解密: 转义符去除.
= [之前:220 之后:220] (无变化)
! hxxp://baidu8221.8866.org/1/ecfox.htm代码分析完毕,即将被移除。
> 解密中 001>hxxp://baidu8221.8866.org/1/sfpf.htm
> 代码: 读取代码:hxxp://baidu8221.8866.org/1/sfpf.htm
= 长度:210成功
! hxxp://baidu8221.8866.org/1/sfpf.htm代码分析完毕,即将被移除。
> 解密中 001>hxxp://baidu8221.8866.org/1/cqqskin.css
> 代码: 读取代码:hxxp://baidu8221.8866.org/1/cqqskin.css
= 失败
! hxxp://baidu8221.8866.org/1/sf.pdf代码分析完毕,即将被移除。
> 解密中 001>hxxp://baidu8221.8866.org/1/ec4.js
> 代码: 读取代码:hxxp://baidu8221.8866.org/1/ec4.js
= 长度:2105成功
> 解密: 转义符去除.
= [之前:2105 之后:2102] (完成)
> 解密: 转义符去除.
= [之前:2102 之后:2102] (无变化)
> 去杂: "\"消除.
= [之前:2102 之后:2102] (无变化)
!! 发现特定文件类型:hxxp://xxx.ss.la/1.exe
> 一次敏感退出，解密结束
- 解密结束
> 后续操作:解密步骤列表回溯
>存在于特定类型文件列表中的网址有:
>hxxp://xxx.ss.la/1.exe