恶意网站样本准备：

恶意网站样本前八个来源于剑盟社区的挂马网站分析有奖帖子，即：
剑盟社区JANMENG.COM » 『Web Security analysis』 » 『计算机网络黑名单举报交流专区
』 » 【2009年第一百九十二期】挂马网站播报（分析有奖）

原帖中的第八个和第九个恶意网站在测试期间不满足测试条件，所以去除，后从卡卡论坛
的恶意网站交流版块选取了两个新的，共十个。

恶意网站样本与病毒样本区别之一就是：前者的代码或文件是位于网站服务器上的，所以就
存在一个是否是有效的样本问题，网站管理者当发现网站被挂马后，将恶意代码或文件删除
后，那么这个网站就没有测试意义了。

故选取的这些样本，在测试期间均满足下面条件：
1.是有效的、可以连接上的网站；
2.网站均被挂马；

1、http://www.hngzjs.com(河南鸽子净水设备有限公司)
挂马分析：http://bbs.ikaka.com/showtopic-8663124.aspx

瑞星：网页打开得非常缓慢，最终可以打开；杀毒软件未检测到威胁；没有病毒进程产生；CPU及内存占用一般。
卡巴：网页打开得非常缓慢，最终可以打开；杀毒软件未检测到威胁；没有病毒进程产生；CPU及内存占用一般。

2、http://www.hrmir5.com(红日传奇) 
挂马分析：http://bbs.ikaka.com/showtopic-8663125.aspx

瑞星：网页直接被恶意网址拦截功能屏蔽；没有病毒进程产生；CPU及内存占用非常低，几乎谈不上占用。
卡巴：网页打开得非常缓慢，最终可以打开；杀毒软件检测到威胁并拦截；没有病毒进程产生；CPU及内存占用稍高，感觉上还可以接受。

3、http://artphotos-v.com（维视觉婚纱摄影会馆）
挂马分析：http://bbs.ikaka.com/showtopic-8663127.aspx

瑞星：网页打开非常缓慢；杀毒软件的木马入侵拦截功能检测到恶意脚本并加以拦截；没有病毒进程产生；CPU及内存占用较低。
卡巴：网页直接被卡巴屏蔽；杀毒软件检测到威胁并拦截；没有病毒进程产生；CPU及内存占用较低，感觉不错。

4、http://copack-syzl.com（沈阳宗利塑料制品有限公司）
挂马分析：http://bbs.ikaka.com/showtopic-8663129.aspx

瑞星：网页打开非常缓慢；杀毒软件的木马入侵拦截功能检测到恶意脚本并加以拦截；没有病毒进程产生；CPU及内存占用方面一般。
卡巴：网页打开得非常缓慢，最终可以打开；杀毒软件检测到威胁并拦截；没有病毒进程产生；CPU占用稍高。

5、http://fjxinchuang.com（泉州新创电子有限公司）
挂马分析：http://bbs.ikaka.com/showtopic-8663132.aspx

瑞星：网页打开非常缓慢；杀毒软件的木马入侵拦截功能检测到恶意脚本并加以拦截；没有病毒进程产生；CPU及内存占用方面还可以。
卡巴：网页打开得非常缓慢；杀毒软件检测到威胁并拦截；没有病毒进程产生；CPU占用一般。

6、http://wlbm.hahlzx.com（同创国际经济技术合作有限公司）
挂马分析：http://bbs.ikaka.com/showtopic-8663133.aspx

瑞星：网页打开非常缓慢；杀毒软件的木马入侵拦截功能检测到恶意脚本并加以拦截；没有病毒进程产生；CPU及内存占用较低。
卡巴：网页打开得非常缓慢；杀毒软件检测到威胁并拦截；从进程列表中可以看到IE启动了一个cmd.exe的子进程，根据当前的网马的特点，通常是利用DOS命令结束安全软件，禁用安全相关的服务等一些动作；CPU及内存占用比较高，几乎到了无响应的程度。

7、http://www.a-firms.com（义乌骏发五金工具有限公司）
挂马分析：http://bbs.ikaka.com/showtopic-8663135.aspx

瑞星：网页打开非常缓慢；杀毒软件的木马入侵拦截功能检测到恶意脚本并加以拦截；没有病毒进程产生；CPU及内存占用较高。
卡巴：网页直接被卡巴屏蔽；杀毒软件检测到威胁并拦截；没有病毒进程产生；CPU及内存占用较低。

8、http://www.gtgh.com.cn（江苏国泰国华实业有限公司）
挂马分析：http://bbs.ikaka.com/showtopic-8663143.aspx

瑞星：网页打开非常缓慢；杀毒软件的木马入侵拦截功能检测到恶意脚本并加以拦截；没有病毒进程产生；CPU及内存占用较高。
卡巴：网页打开得非常缓慢；杀毒软件检测到威胁并拦截；没有病毒进程产生；CPU占用一般。

9、http://www.myworld.com.cn（自一方(MY WORLD)休闲服饰(国际)有限公司）
挂马分析：http://bbs.ikaka.com/showtopic-8663130.aspx#9951980

瑞星：网页打开非常缓慢；杀毒软件的木马入侵拦截功能检测到恶意脚本并加以拦截；没有病毒进程产生；CPU及内存占用较高。
卡巴：网页打开得非常缓慢；杀毒软件检测到威胁并拦截；没有病毒进程产生；CPU占用一般。

10、http://www.goldingsoft.net（南昌金鼎软件）
挂马分析：http://bbs.ikaka.com/showtopic-8663130.aspx#9951699

瑞星：网页打开非常缓慢；杀毒软件的木马入侵拦截功能检测到恶意脚本并加以拦截；没有病毒进程产生；CPU及内存占用很低。
卡巴：网页打开得非常缓慢；杀毒软件检测到威胁并拦截；没有病毒进程产生；CPU占用一般。

杀毒软件准备：将瑞星全功能10与卡巴斯基全功能10均升级到最新版本，然后取消软件的自动升级功能。

瑞星来了：


卡巴斯基来了：




go~

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; CIBA; MAXTHON 2.0)

1、http://www.hngzjs.com(河南鸽子净水设备有限公司)





卡巴：网页打开得非常缓慢，最终可以打开；杀毒软件未检测到威胁；没有病毒进程产生；CPU及内存占用一般。


瑞星：网页打开得非常缓慢，最终可以打开；杀毒软件未检测到威胁；没有病毒进程产生；CPU及内存占用一般。

2、http://www.hrmir5.com(红日传奇)





卡巴：网页打开得非常缓慢，最终可以打开；杀毒软件检测到威胁并拦截；没有病毒进程产生；CPU及内存占用稍高，感觉上还可以接受。



瑞星：网页直接被恶意网址拦截功能屏蔽；没有病毒进程产生；CPU及内存占用非常低，几乎谈不上占用。

3、http://artphotos-v.com（维视觉婚纱摄影会馆）






卡巴：网页直接被卡巴屏蔽；杀毒软件检测到威胁并拦截；没有病毒进程产生；CPU及内存占用较低，感觉不错。



瑞星：网页打开非常缓慢；杀毒软件的木马入侵拦截功能检测到恶意脚本并加以拦截；没有病毒进程产生；CPU及内存占用较低。

4、http://copack-syzl.com（沈阳宗利塑料制品有限公司）






卡巴：网页打开得非常缓慢，最终可以打开；杀毒软件检测到威胁并拦截；没有病毒进程产生；CPU占用稍高。



瑞星：网页打开非常缓慢；杀毒软件的木马入侵拦截功能检测到恶意脚本并加以拦截；没有病毒进程产生；CPU及内存占用方面一般。

5、http://fjxinchuang.com（泉州新创电子有限公司）





卡巴：网页打开得非常缓慢；杀毒软件检测到威胁并拦截；没有病毒进程产生；CPU占用一般。





瑞星：网页打开非常缓慢；杀毒软件的木马入侵拦截功能检测到恶意脚本并加以拦截；没有病毒进程产生；CPU及内存占用方面还可以。

6、http://wlbm.hahlzx.com（同创国际经济技术合作有限公司）







卡巴：网页打开得非常缓慢；杀毒软件检测到威胁并拦截；从进程列表中可以看到IE启动了一个cmd.exe的子进程，根据当前的网马的特点，通常是利用DOS命令结束安全软件，禁用安全相关的服务等一些动作；CPU及内存占用比较高，几乎到了无响应的程度。





瑞星：网页打开非常缓慢；杀毒软件的木马入侵拦截功能检测到恶意脚本并加以拦截；没有病毒进程产生；CPU及内存占用较低。

7、http://www.a-firms.com（义乌骏发五金工具有限公司）





卡巴：网页直接被卡巴屏蔽；杀毒软件检测到威胁并拦截；没有病毒进程产生；CPU及内存占用较低。




瑞星：网页打开非常缓慢；杀毒软件的木马入侵拦截功能检测到恶意脚本并加以拦截；没有病毒进程产生；CPU及内存占用较高。

8、http://www.gtgh.com.cn（江苏国泰国华实业有限公司）





卡巴：网页打开得非常缓慢；杀毒软件检测到威胁并拦截；没有病毒进程产生；CPU占用一般。




瑞星：网页打开非常缓慢；杀毒软件的木马入侵拦截功能检测到恶意脚本并加以拦截；没有病毒进程产生；CPU及内存占用较高。

9、http://www.myworld.com.cn（自一方(MY WORLD)休闲服饰(国际)有限公司）



卡巴：网页打开得非常缓慢；杀毒软件检测到威胁并拦截；没有病毒进程产生；CPU占用一般。




瑞星：网页打开非常缓慢；杀毒软件的木马入侵拦截功能检测到恶意脚本并加以拦截；没有病毒进程产生；CPU及内存占用较高。