瑞星网站每日安全播报(2010年3月4日) bbs.ikaka.com

networkedition - 2010-3-4 11:20:00

引用:

网址均来自瑞星每日安全播报，我们详细分析其中所挂恶意网址，对于已失效的恶意网址就不再分析。

引用:

注：以下分析出的恶意网址均包含有真实网马下载地址，请勿直接下载并运行，以免系统中招。

引用:

1. http://blog.91.cn/（博客——就医网）
2. http://web.g365.net/(网页游戏频道首页--游戏365)
3. http://www.m1905.com/(电影网_M1905.com-电影网_M1905.com

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)

networkedition - 2010-3-4 11:21:00

关于:hxxp://blog.91.cn/group.asp?gid=7解密的日志(全体输出 - 11):

Level 0>http://blog.91.cn/group.asp?gid=7
Level 1>http://big5.91.cn:81/gate/big5/blog.91.cn/group.asp?gid=7
Level 1>http://big5.91.cn:81/gate/big5/blog.91.cn/group.asp?gid=7
Level 2>http://liudidi.9966.org/images/css/bf.htm
Level 2>http://liudidi.9966.org/images/css/dom.htm
Level 2>http://liudidi.9966.org/images/css/of.htm
Level 2>http://liudidi.9966.org/images/css/ff.htm
Level 2>http://liudidi.9966.org/images/css/tj.htm
Level 2>http://liudidi.9966.org/images/css/mepeg.htm
Level 3>http://vwv.wwvv.us/images/css/css.swf ●

日志由 Redoce2.0第87次修正版于 2010-3-4 11:10:22 生成。

networkedition - 2010-3-4 11:21:00

Log is generated by FreShow.
[wide]http://web.g365.net/news/200903/16-11493.html
[object]http://bbs.xcdx169.net/include/log.js?XGTWZMDW
[frame]http://www.moto8.cn/forumdata/plus/dn.htm?k0303
[object]http://www.moto8.cn/forumdata/plus/dn.exe
[script]http://web.g365.net/templets/js/head.js
[script]http://web.g365.net/include/dedeajax2.js
[script]http://count19.51yes.com/click.aspx?id=190381874&logo=12
[script]http://s112.cnzz.com/stat.php?id=962425&web_id=962425
[script]http://www.g365.net/adslist/Ad_all_topjs02.js
[script]http://web.g365.net/plus/digg2.php?aid=11493&cid=1
[script]http://web.g365.net/plus/feedback_js.php?arcID=11493
[script]http://cpro.baidu.com/cpro/ui/cp.js
[script]http://web.g365.net/templets/js/footer.js

networkedition - 2010-3-4 11:21:00

Log is generated by FreShow.
[wide]http://www.m1905.com/uploadfile/2010/0214/tmp/dnf/24425.html
[script]http://kissmeimei.host012.idcdo.com/js/dn.js?OZRZSI
[frame]http://www.moto8.cn/forumdata/plus/dn.htm?k0228
[object]http://www.moto8.cn/forumdata/plus/dn.exe
[script]http://js.users.51.la/3074814.js

zzzkkkmmm - 2010-3-4 11:23:00

版主能不能把分析过程写出来啊，照顾一下我们新手啊谢谢

networkedition - 2010-3-4 11:25:00

恶意网站交流区有教程，可以自行学习，教程写的很详细了。

zzzkkkmmm - 2010-3-4 11:29:00

学习过了，可是还是有些无从下手

暗夜的雪 - 2010-3-4 12:16:00

Log is generated by FreShow.
[wide]http://blog.91.cn/group.asp?gid=7
[script]http://blog.91.cn/oBlogStyle/group/menu.js
[script]http://blog.91.cn/inc/main.js
[script]http://blog.91.cn/ad/ad_teamtopjs.htm
[script]http://blog.91.cn/ad/ad_teamlinksjs.htm
[script]http://w212.2.wwvv.us/images/css/swf.swf
[frame]http://liudidi.9966.org/images/css/mepeg.htm
[script]http://liudidi.9966.org/images/css/dj.jpg
[object]http://vvvv.wwvv.us/images/css/css.swf
[script]http://liudidi.9966.org/images/css/dj1.jpg
[frame]http://liudidi.9966.org/images/css/tj.htm
[frame]http://liudidi.9966.org/images/css/ff.htm
[frame]http://liudidi.9966.org/images/css/of.htm
[frame]http://liudidi.9966.org/images/css/dom.htm
[frame]http://liudidi.9966.org/images/css/bf.htm
[script]http://blog.91.cn/ad/ad_teambotjs.htm

哈！昨天那个变态的马！！

暗夜的雪 - 2010-3-4 12:23:00

Log is generated by FreShow.
[wide]http://web.g365.net/news/200903/16-11493.html
[script]http://web.g365.net/templets/js/head.js
[object]http://bbs.xcdx169.net/include/log.js?XGTWZMDW
[frame]http://www.moto8.cn/forumdata/plus/dn.htm?k0303
[script]http://web.g365.net/include/dedeajax2.js
[script]http://count19.51yes.com/click.aspx?id=190381874&logo=12
[script]http://s112.cnzz.com/stat.php?id=962425&web_id=962425
[script]http://www.g365.net/adslist/Ad_all_topjs02.js
[script]http://web.g365.net/plus/digg2.php?aid=11493&cid=1
[script]http://web.g365.net/plus/feedback_js.php?arcID=11493
[script]http://cpro.baidu.com/cpro/ui/cp.js

http://bbs.xcdx169.net/include/log.js?XGTWZMDW 这个在源码中有个eavl带花的加密~~ 太猛了。是个老马了~
不过底下的这个Fream
http://www.moto8.cn/forumdata/plus/dn.htm?k0303
现在获取不到源码了~~~

暗夜的雪 - 2010-3-4 12:27:00

Log is generated by FreShow.
[wide]http://www.m1905.com/uploadfile/2010/0214/tmp/dnf/24425.html
[script]http://kissmeimei.host012.idcdo.com/js/dn.js?OZRZSI
[frame]http://www.moto8.cn/forumdata/plus/dn.htm?k0228
[script]http://js.users.51.la/3074814.js

http://www.moto8.cn/forumdata/plus/dn.htm?K0228
老师~ 这个网址和前面那个K0303都用工具获取不到源码，而且不显示错误，就是一直的在获取过程中，是不是利用了什么技术呢？

networkedition - 2010-3-4 12:40:00

http://www.moto8.cn/forumdata/plus/dn.htm?K0228
可以获取到呀:kaka6:

暗夜的雪 - 2010-3-4 13:27:00

很奇怪。。我这里就获取不到源代码，也许被瑞星拦截了？可是直接放到浏览器里也没有提示。。也不出代码。。。太奇怪了~

fengxingjudy - 2010-3-5 10:17:00

hxxp://blog.91.cn/group.asp?gid=7
http://liudidi.9966.org/images/css/bf.htm
http://vwv.wwvv.us/images/css/css.swf
利用暴风影音2009 mps.dll 漏洞进行恶意攻击。
请问老师，这个css.swf 是不是一个pe文件呀？

zzzkkkmmm - 2010-3-7 21:46:00

http://www.m1905.com/(电影网_M1905.com-电影网_M1905.com

我的工具怎么不能出来和大家一样的格式
我也分析出来了。
http://www.moto8.cn/forumdata/plus/dn.exe

瑞星卡卡安全论坛